Хранилища медицинских данных уязвимы для 400 млн записей – исследование

534

Немецкая аналитическая компания Greenbone Networks проверила надежность около 2,3 тысячи систем хранения и передачи изображений (Picture Archiving and Communication System; PACS), используемых для накопления результатов медицинских обследований и подключённых к Интернету; обнаружилось, что почти 600 серверов в 52 странах абсолютно не защищены от неавторизованного доступа, и под угрозой находятся 400 миллионов записей о состоянии здоровья конкретных людей.

PACS используются в сфере здравоохранения для хранения и использования медицинской информации, полученной с помощью рентгеновских аппаратов, аппаратов компьютерной томографии или МРТ-машин. Они, в свою очередь, применяют стандарт DICOM (Digital Imaging and Communications in Medicine – формат хранения цифровых изображений в медицине) для передачи, хранения, получения, печати, обработки и демонстрации данных цифровых медицинских изображений.

Используя публичные поисковики для обнаружения устройств, Greenbone Networks с середины июля по начало сентября идентифицировала 590 PACS-серверов, на которые можно свободно зайти через Интернет; в совокупности эти серверы содержали 24,3 миллиона записей пациентов.

Большинство записей включали следующие персональные и медицинские данные:

  • имя и фамилию пациента;
  • дату рождения;
  • дату обследования;
  • область обследования;
  • тип изображения;
  • данные о специалисте, проводившем процедуру;
  • название медучреждения;
  • количество полученных изображений.

Злоумышленники могут использовать эту информацию для более эффективных методов социальной инженерии и фишинговых атак, нацеленных, в конечном итоге, на извлечение выгоды за счёт владения чувствительной инфомацией.

Исследователи пытались извлечь данные с открытых PACS-серверов. Из проверенных ими 733,5 миллиона изображений 399,5 миллиона удалось загрузить и просмотреть.

Наибольшее количество уязвимых систем в Европе – 10 – было обнаружено в Италии, она же оказалась страной с наибольшим объёмом попавших в открытый доступ медицинских данных.

В Северной Америке «антирейтинг» возглавили США: 187 систем, 13,7 миллиона незащищённых наборов данных, более 300 миллионов изображений.

Данные по Северной Америке.

Бразилия «лидирует» в Южной Америке: 34 уязвимых сервера, 640 тысяч наборов данных, 31,1 миллиона изображений.

В Азии по количеству открытых серверов первой оказалась Индия (96 систем), однако Турция лидирует по количеству доступных записей (4,9 миллиона). В Индии же были доступны 627 тысяч записей и более 105 миллионов связанных с ними изображений.

Россия (которую исследователи также отнесли к Азии) представлена пятью незащищенными PACS-серверами; в РФ удалось получить доступ к 9,8 тысячи наборов данных и 885 тысячам изображений.

Данные по Азии.

Как говорится в исследовании, при проверке систем обнаружены более 10 тысяч случаев ненадлежащей защиты данных, 20% из относятся к высокому уровню опасности. Среди них 500 случаев относятся к уязвимостям высочайшей опасности – 10 из 10 по стандарту CVSS (Common Vulnerability Scoring System). При этом часть уязвимостей были довольно «старыми» — они известны уже по несколько лет, но не закрыты по халатности ответственных за безопасность данных.

Кроме этого, аудит обнаружил, что 45 PACS-серверов передавали данные по небезопасным протоколам HTTP и FTP, вместо положенного DICOM. Таким образом, эти данные можно получить вообще без идентификации. Один сервер и вовсе держал файлы в открытой директории, что позволяло получить данные через браузер.