АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

20 сентября 2019

В Сети оказались данные 24 млн пациентов

Немецкая компания Greenbone Networks в ходе своего исследования обнаружила в свободном доступе сотни медицинских архивов, где хранились данные более 24 млн пациентов из 52 стран, передает Teiss.

Специалисты Greenbone Networks изучали PACS-серверы, используемые медицинскими организациями по всему миру для архивирования диагностических данных: рентгеновские снимки, результаты КТ, МРТ и другие . Из 2300 систем выявлено 590, которые не имели защиты, то есть были доступны для просмотра информации. Фактически эти незащищенные медицинские системы раскрывают конфиденциальную информацию порядка 24 млн человек по всему миру. Более половины найденных данных относятся к пациентам из США. Помимо сканов исследований, на PACS-серверах хранятся персональные данные: имена, даты рождения, даты исследований и другая личная информация пациентов.

Системы архивирования медицинских изображений основаны на отраслевом стандарте создания, хранения, передачи и визуализации данных (DICOM). Он позволяет медицинским работникам обмениваться данными исследований друг с другом. Однако, надо учитывать, что DICOM был разработан еще в 1980-х годах. Уже очевидно, что он является устаревшим. Исследователи обнаружили, что 39 систем архивного хранения медицинских изображений используют незашифрованное средство просмотра файлов, а ряд других серверов, подключенных к Интернету, позволяют свободно обращаться к информации пациентов.

По данным Greenbone Networks, в настоящее время на PACS-серверах хранится в общей сложности 737 млн медицинских изображений, связанных с данными пациентов. Из них около 400 млн файлов находятся в свободном доступе через Сеть.

«Данные миллионов пациентов доступны любому, просто вследствие небрежной конфигурации медицинских архивных систем. У значительной части этих серверов вообще нет защиты, они не защищены паролем и не используют шифрование данных», — сокрушается Дирк Шрейдер (Dirk Schrader), архитектор систем киберустойчивости Greenbone Networks. По словам специалиста, скопированные с PACS-серверов данные злоумышленники могут использовать для «кражи личности» с целью получения медицинских услуг под чужим именем. Кроме того, эти данные выступают отличной базой для целевых фишинговых атак и даже для вымогательства.

Читайте нас в Telegram и Facebook

Подпишитесь на рассылку INFOWATCH