Немецкая аналитическая компания Greenbone Networks проверила надежность около 2,3 тысячи систем хранения и передачи изображений (Picture Archiving and Communication System; PACS), используемых для накопления результатов медицинских обследований и подключённых к Интернету; обнаружилось, что почти 600 серверов в 52 странах абсолютно не защищены от неавторизованного доступа, и под угрозой находятся 400 миллионов записей о состоянии здоровья конкретных людей.
PACS используются в сфере здравоохранения для хранения и использования медицинской информации, полученной с помощью рентгеновских аппаратов, аппаратов компьютерной томографии или МРТ-машин. Они, в свою очередь, применяют стандарт DICOM (Digital Imaging and Communications in Medicine – формат хранения цифровых изображений в медицине) для передачи, хранения, получения, печати, обработки и демонстрации данных цифровых медицинских изображений.
Используя публичные поисковики для обнаружения устройств, Greenbone Networks с середины июля по начало сентября идентифицировала 590 PACS-серверов, на которые можно свободно зайти через Интернет; в совокупности эти серверы содержали 24,3 миллиона записей пациентов.
Большинство записей включали следующие персональные и медицинские данные:
- имя и фамилию пациента;
- дату рождения;
- дату обследования;
- область обследования;
- тип изображения;
- данные о специалисте, проводившем процедуру;
- название медучреждения;
- количество полученных изображений.
Злоумышленники могут использовать эту информацию для более эффективных методов социальной инженерии и фишинговых атак, нацеленных, в конечном итоге, на извлечение выгоды за счёт владения чувствительной инфомацией.
Исследователи пытались извлечь данные с открытых PACS-серверов. Из проверенных ими 733,5 миллиона изображений 399,5 миллиона удалось загрузить и просмотреть.
Наибольшее количество уязвимых систем в Европе – 10 – было обнаружено в Италии, она же оказалась страной с наибольшим объёмом попавших в открытый доступ медицинских данных.
В Северной Америке «антирейтинг» возглавили США: 187 систем, 13,7 миллиона незащищённых наборов данных, более 300 миллионов изображений.
Бразилия «лидирует» в Южной Америке: 34 уязвимых сервера, 640 тысяч наборов данных, 31,1 миллиона изображений.
В Азии по количеству открытых серверов первой оказалась Индия (96 систем), однако Турция лидирует по количеству доступных записей (4,9 миллиона). В Индии же были доступны 627 тысяч записей и более 105 миллионов связанных с ними изображений.
Россия (которую исследователи также отнесли к Азии) представлена пятью незащищенными PACS-серверами; в РФ удалось получить доступ к 9,8 тысячи наборов данных и 885 тысячам изображений.
Как говорится в исследовании, при проверке систем обнаружены более 10 тысяч случаев ненадлежащей защиты данных, 20% из относятся к высокому уровню опасности. Среди них 500 случаев относятся к уязвимостям высочайшей опасности – 10 из 10 по стандарту CVSS (Common Vulnerability Scoring System). При этом часть уязвимостей были довольно «старыми» — они известны уже по несколько лет, но не закрыты по халатности ответственных за безопасность данных.
Кроме этого, аудит обнаружил, что 45 PACS-серверов передавали данные по небезопасным протоколам HTTP и FTP, вместо положенного DICOM. Таким образом, эти данные можно получить вообще без идентификации. Один сервер и вовсе держал файлы в открытой директории, что позволяло получить данные через браузер.
