Онаружена утечка данных миллионов пациентов

Рано утром 17 сентября 2019 года немецкие СМИ заявили об очередном скандале связанном с утечкой личных данных. По данным исследования, проведенного Bayerischer Rundfunk (BR) с американской исследовательской платформой ProPublica, личные медицинские данные, включая пациентов из Германии и США, оказались доступны каждому на незащищенных серверах.

Скрининг рака молочной железы, изображения позвоночника, рентгенография грудной клетки, кардиостимулятор легко узнаваем. Это самые интимные изображения, которые годами были свободно доступны в интернете. Такие наборы данных от миллионов пациентов всего мира хранятся на незащищенных серверах. В этой утечке данных можно также найти информацию о тысячах пациентов из Германии.

Фотографии различных медицинских обследований изобилуют большим количеством информации. Почти все данные относятся к личным приватным сведениям: дата рождения, имя и фамилия, дата обследования и информация о лечащем враче или самом лечении.

Данные рентгеновых снимков

Во всем мире было найдено много серверов с открытым доступом. Они располагались в 50 странах от Бразилии до Турции и Индии. В сети было открыто 16 миллионов наборов данных. Особенно пострадали пациенты из США. Согласно оценке ProPublica, более одного миллиона данных пациентов были доступны от одного поставщика для рентгенологических исследований.

До прошлой недели более 13 000 наборов открытых данных пациентов из Германии также находились в открытом доступе. Более половины файлов содержат изображения. Большинство открытых данных касалось пациентов Ингольштадт и Кемпена в Северном Рейне-Вестфалии.

Данные пациента легко найти

Когда пациенты обследуются в трубке МРТ, создаются двухмерные и трехмерные изображения внутренней части тела. Эти изображения отправляются устройствами на выделенный сервер, используемый для архивирования изображений, систему архивации и передачи изображений (Picture Archiving and Communication System, PACS). Также на эти серверы попадают рентгеновские снимки и изображения с компьютерной томографии.

Если серверы недостаточно безопасны, получить данные довольно просто, объясняет эксперт по информационной безопасности Дирк Шрейдер ( Dirk Schrader). Он связался со следственными и информационными журналистами Bayerischer Rundfunk после обнаружения более 2300 компьютеров по всему миру, которые содержали эти наборы данных. Серверы были не защищены!

Нет паролей — нет конфиденциальности

Шредер говорит о «доступе почти в реальном времени»:

В рассмотренных мною системах у меня сложилось впечатление, что в случае сомнений я смогу получить доступ к изображению раньше, чем врач

Себастьян Шинцель (Sebastian Schinzel), профессор IT-безопасности в Мюнстерском университете прикладных наук, также говорит о «ощутимом скандале». В настоящее время он работает над проектом в Северном Рейне-Вестфалии по улучшению кибербезопасности для отрасли здравоохранения:

Эти данные очень чувствительны, и, конечно, я не хочу, чтобы они были доступны в интернете, без аутентификации по паролю. Я считаю это катастрофой

Управление информационной безопасности информирует 46 стран

Дирк Шрэдер связался с Федеральным управлением информационной безопасности (BSI), которое отвечает за безопасность IT. По запросу пресс-секретарь сообщил, что было расследовано 17 случаев, и «три учреждения непосредственно информированы о фактах открытого доступа».

По юридическим причинам BSI не разрешен доступ к самим данным. В остальных 14 случаях, когда одного IP-адреса было недостаточно для выявления утечки, они связались с интернет-провайдерами. Теперь они должны информировать пострадавшие учреждения. Кроме того, были установлены контакты с властями в 46 странах.

Утечка данных не была воспринята всерьез

В 2016 году Олег Пьяных (Oleg Pianykh), профессор радиологии Гарвардской медицинской школы, опубликовал исследование о незащищенных серверах PACS. В то время он обнаружил более 2700 открытых систем.

В профессиональных кругах, исследование Пьяных действительно было отмечено. Но, видимо, никто не видел причины для действий. В конце концов, американские исследователи не проверяли, были ли реальные данные на серверах.

Источник: tagesschau.de

Читайте также:

Защита персональных данных коснется всех компаний с мая 2018

DSGVO. Организация защиты личных данных

Электронный паспорт здоровья

Профилактические обследования: жизнь по календарю