Serveur d'impression

Des millions d'images médicales et de données médicales des Américains sont disponibles sur Internet. N'importe qui peut jeter un coup d'oeil – Serveur d’impression

Le 20 octobre 2019 - 14 minutes de lecture

Cet article a été publié à l'origine par ProPublica et a été rapporté par le radiodiffuseur public allemand Bayerischer Rundfunk.

Les images médicales et les données relatives à la santé appartenant à des millions d'Américains, notamment les rayons X, les IRM et les tomodensitogrammes, ne sont pas protégées sur Internet et sont accessibles à toute personne possédant des connaissances de base en informatique.

Les enregistrements couvrent plus de 5 millions de patients aux États-Unis et des millions d’autres dans le monde. Dans certains cas, un espion pourrait utiliser des logiciels libres, ou tout simplement un navigateur Web classique, pour afficher les images et les données personnelles, comme le révèle une enquête de ProPublica et du radiodiffuseur allemand Bayerischer Rundfunk.

Bulletin quotidien gratuit

Vous aimez cette histoire? Abonnez-vous à FierceHealthcare!

Le secteur des soins de santé reste en mutation alors que la politique, la réglementation, la technologie et les tendances façonnent le marché. Les abonnés de FierceHealthcare comptent sur notre suite de newsletters comme source incontournable pour les dernières actualités, analyses et données ayant un impact sur leur monde. Inscrivez-vous aujourd'hui pour recevoir les nouvelles et les mises à jour sur les soins de santé dans votre boîte de réception et les lire pendant vos déplacements.

Nous avons identifié 187 serveurs (ordinateurs utilisés pour stocker et récupérer des données médicales) aux États-Unis qui n'étaient pas protégés par des mots de passe ou des mesures de sécurité de base. Les systèmes informatiques, de la Floride à la Californie, sont utilisés dans les cabinets de médecins, les centres d’imagerie médicale et les services de radiographie mobiles.

Les serveurs non sécurisés que nous avons découverts s'ajoutent à la liste croissante de systèmes de dossiers médicaux qui ont été compromis ces dernières années. Contrairement à certaines des plus infâmes violations de la sécurité récentes, dans lesquelles les pirates informatiques contournaient les cyberdéfenses d’une entreprise, ces enregistrements étaient souvent stockés sur des serveurs dépourvus des précautions de sécurité qui étaient depuis longtemps en vigueur pour les entreprises et les organismes gouvernementaux.

«Ce n’est même pas du piratage informatique. C'est une porte ouverte », a déclaré Jackie Singh, chercheur en cybersécurité et directeur général du cabinet de conseil Spyglass Security. Certains fournisseurs de soins médicaux ont commencé à verrouiller leurs systèmes après leur avoir révélé ce que nous avions trouvé.

Notre examen a révélé que l'ampleur de l'exposition variait en fonction du fournisseur de soins de santé et du logiciel utilisé. Par exemple, le serveur de la société américaine MobilexUSA a affiché les noms de plus d’un million de patients, le tout en tapant une simple requête de données. Leurs dates de naissance, les médecins et les procédures ont également été inclus.

CONNEXES: HHS prend des mesures pour réduire les amendes imposées par la loi HIPAA, abaissant le plafond de plus d'un million de dollars pour certaines infractions

Alerté par ProPublica, MobilexUSA a renforcé sa sécurité la semaine dernière. La société effectue des radiographies mobiles et fournit des services d'imagerie aux maisons de retraite, hôpitaux de rééducation, agences de soins palliatifs et prisons. "Nous avons rapidement limité les vulnérabilités identifiées par ProPublica et immédiatement ouvert une enquête approfondie en cours", a déclaré la société mère de MobilexUSA dans un communiqué.

Un autre système d’imagerie relié à un médecin à Los Angeles permettait à tous les internautes de consulter les échocardiogrammes de ses patients. (Le médecin n'a pas répondu aux demandes de renseignements de ProPublica.)

Au total, des données médicales provenant de plus de 16 millions d'analyses dans le monde étaient disponibles en ligne, notamment des noms, des dates de naissance et, dans certains cas, des numéros de sécurité sociale.

Les experts affirment qu’il est difficile de déterminer qui est responsable de l’absence de protection de la confidentialité des images médicales. En vertu de la législation américaine, les prestataires de soins de santé et leurs associés sont légalement responsables de la protection de la confidentialité des données des patients. Plusieurs experts ont déclaré qu'une telle exposition des données des patients pourrait constituer une violation de la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA), qui impose aux prestataires de soins de santé de protéger la confidentialité et la sécurité des données de santé des Américains.

Bien que ProPublica n'ait trouvé aucune preuve que les données des patients aient été copiées de ces systèmes et publiées ailleurs, les conséquences d'un accès non autorisé à de telles informations pourraient être dévastatrices. «Les dossiers médicaux sont l’un des domaines les plus importants pour la confidentialité, car ils sont très sensibles. Les connaissances médicales peuvent être utilisées contre vous de manière malveillante: pour faire honte aux gens, pour les faire chanter », a déclaré Cooper Quintin, chercheur en sécurité et technologue principal à la Electronic Frontier Foundation, un groupe de défense des droits numériques.

"C'est tellement irresponsable", a-t-il déclaré.

La question ne devrait pas être une surprise pour les fournisseurs de soins médicaux. Pendant des années, un expert a tenté de mettre en garde contre le traitement occasionnel de données de santé personnelles. Oleg Pianykh, directeur des analyses médicales au département de radiologie du Massachusetts General Hospital, a déclaré que le logiciel d’imagerie médicale était traditionnellement conçu avec l’hypothèse que les données des patients seraient sécurisées par les systèmes de sécurité informatique du client.

CONNEXES: 32 millions d'enregistrements de patients ont été violés en 2019. C'est le double de l'ensemble de 2018, rapporte Protenus

Mais à mesure que les réseaux des hôpitaux et des centres médicaux devenaient de plus en plus complexes et connectés à Internet, la responsabilité de la sécurité était transférée aux administrateurs de réseau qui supposaient que des garanties étaient en place. «La sécurité médicale est devenue tout à coup un projet à faire soi-même», a écrit Pianykh dans un article de recherche publié en 2016 dans une revue médicale.

L’enquête de ProPublica s’appuie sur les conclusions de Greenbone Networks, une entreprise de sécurité basée en Allemagne, qui a identifié des problèmes dans au moins 52 pays de tous les continents habités. Dirk Schrader de Greenbone a d’abord partagé ses recherches avec Bayerischer Rundfunk après avoir découvert que les dossiers médicaux de certains patients étaient en danger. Les journalistes allemands ont ensuite approché ProPublica pour explorer l'étendue de l'exposition aux États-Unis.

Schrader a trouvé cinq serveurs en Allemagne et 187 aux États-Unis, ce qui rendait les dossiers des patients disponibles sans mot de passe. ProPublica et Bayerischer Rundfunk ont ​​également analysé les adresses de protocole Internet et identifié, dans la mesure du possible, leur fournisseur de soins de santé.

ProPublica a déterminé de manière indépendante le nombre de patients pouvant être affectés en Amérique et a constaté que certains serveurs utilisaient des systèmes d'exploitation obsolètes comportant des vulnérabilités de sécurité connues. Schrader a déclaré que les données de plus de 13,7 millions de tests médicaux aux États-Unis étaient disponibles en ligne, y compris plus de 400 000 dans lesquelles des radiographies et d'autres images pouvaient être téléchargées.

CONNEXE: Nouveau rapport: Dans Anthem violation, des pirates informatiques étrangers ont profité des failles de sécurité communes

Le problème de la confidentialité découle du passage de la profession médicale de la technologie analogique à la technologie numérique. L'époque où les rayons X du film étaient affichés sur des panneaux de lumière fluorescente est révolue. Aujourd'hui, les études d'imagerie peuvent être instantanément téléchargées sur des serveurs et visualisées sur Internet par les médecins de leurs bureaux.

Comme dans les premiers temps de cette technologie, comme dans la plupart des cas sur Internet, la sécurité n’était guère envisagée. Le passage de HIPAA nécessitait que les informations des patients soient protégées contre les accès non autorisés. Trois ans plus tard, le secteur de l'imagerie médicale a publié ses premières normes de sécurité.

Nos reportages ont indiqué que les grandes chaînes d'hôpitaux et les centres médicaux universitaires avaient effectivement mis en place des protections de sécurité. La plupart des cas de données non protégées que nous avons trouvés impliquaient des radiologues indépendants, des centres d'imagerie médicale ou des services d'archivage.

Une patiente allemande, Katharina Gaspari, a subi une IRM il y a trois ans et a déclaré qu'elle faisait normalement confiance à ses médecins. Mais après que Bayerischer Rundfunk a montré à Gaspari ses images disponibles en ligne, elle a déclaré: «Maintenant, je ne suis pas sûre de pouvoir le faire encore.» Le système allemand qui stockait ses enregistrements a été verrouillé la semaine dernière.

Nous avons constaté que certains systèmes utilisés pour archiver des images médicales manquaient également de mesures de sécurité. La société Offsite Image, basée à Denver, a laissé ouverts les noms et autres détails de plus de 340 000 enregistrements humains et vétérinaires, y compris ceux d'un gros chat nommé «Marshmellow», a découvert ProPublica. Un responsable Image hors site a déclaré à ProPublica que l’entreprise facturait aux clients 50 USD pour l’accès au site, puis 1 USD par étude. «Vos données sont en sécurité chez nous», déclare le site Web d’Offsite Image.

La société a alors référé ProPublica à son consultant en technologie, qui avait tout d’abord défendu les pratiques de sécurité de Offsite Image et insisté sur le fait qu’un mot de passe était nécessaire pour accéder aux dossiers des patients. Le consultant, Matthew Nelms, a alors appelé un journaliste de ProPublica un jour plus tard et a reconnu que les serveurs d’Offsite Image étaient accessibles mais étaient maintenant réparés.

«Nous n’étions tout simplement jamais conscients qu’il était possible que cela se produise», a déclaré Nelms.

CONNEXES: La violation des données médicales par 1,5 million d'enregistrements est aggravée par les notifications envoyées à de mauvaises adresses

En 1985, un groupe industriel comprenant des radiologues et des fabricants d’imagerie a créé une norme pour les logiciels d’imagerie médicale. La norme, qui s'appelle désormais DICOM, explique comment les dispositifs d'imagerie médicale se parlent et partagent des informations.

Nous avons partagé nos conclusions avec des représentants de la Medical Imaging & Technology Alliance, le groupe qui supervise la norme. Ils ont reconnu qu'il y avait des centaines de serveurs avec une connexion ouverte sur Internet, mais ont suggéré que les responsables en étaient responsables.

«Même s’il s’agit d’un nombre relativement petit», a déclaré l’organisation dans un communiqué, «il est possible que certains de ces systèmes contiennent des dossiers de patients. Ceux-ci représentent probablement de mauvais choix de configuration de la part de ceux qui exploitent ces systèmes. "

Le compte rendu de la réunion de 2017 montre qu’un groupe de travail sur la sécurité a pris connaissance des conclusions de Pianykh et a suggéré de le rencontrer pour en discuter plus avant. Cet "élément d'action" a été répertorié pendant plusieurs mois, mais Pianykh a déclaré qu'il n'avait jamais été contacté. L’alliance de l’imagerie médicale a déclaré à ProPublica la semaine dernière que le groupe ne s’était pas réuni avec Pianykh car ses préoccupations avaient été suffisamment prises en compte dans son article. Ils ont déclaré que le comité avait conclu que ses normes de sécurité n'étaient pas viciées.

Pianykh a dit que passe à côté de l'essentiel. Ce n’est pas un manque de normes; c’est que les fabricants de matériel médical ne les suivent pas. «La sécurité des données médicales n'a jamais été correctement intégrée dans les données ou dispositifs cliniques, elle est encore largement théorique et n'existe pas en pratique», a écrit Pianykh en 2016.

Les dernières conclusions de ProPublica font suite à plusieurs autres violations majeures. En 2015, Anthem, un assureur américain dans le domaine de la santé, a révélé que des données privées appartenant à plus de 78 millions de personnes étaient exposées de manière piratée. Au cours des deux dernières années, des responsables américains ont annoncé que plus de 40 millions de personnes avaient vu leurs données médicales compromises, selon une analyse des dossiers du ministère de la Santé et des Services sociaux des États-Unis.

Joy Pritts, un ancien responsable de la protection de la vie privée chez HHS, a déclaré que le gouvernement n’était pas assez sévère pour contrôler les atteintes à la vie privée des patients. Elle a cité une annonce de HHS en avril qui avait abaissé l’amende annuelle maximale, de 1,5 million de dollars à 250 000 dollars, pour ce que l’on appelle la «négligence délibérée corrigée», résultat d’échecs conscients ou d’une indifférence téméraire qu'une entreprise tente de réparer. Elle a ajouté que les grandes entreprises ne considéreraient pas seulement ces amendes uniquement comme le coût des affaires mais qu'elles pourraient aussi négocier avec le gouvernement pour les réduire. Un examen de ProPublica en 2015 n'a révélé que peu de conséquences pour les récidivistes HIPAA.

Une porte-parole du Bureau des droits civils de HHS, qui applique les violations de la loi HIPAA, a déclaré qu’elle ne ferait aucun commentaire sur les enquêtes ouvertes ou potentielles.

"Ce que nous voyons généralement dans le secteur des soins de santé, c'est qu'il y a une solution sur chaque système", a déclaré Singh, expert en cybersécurité. Elle a déclaré que c’était une «responsabilité partagée» entre les fabricants, les normalisateurs et les hôpitaux de garantir la sécurité des serveurs informatiques.

«Nous sommes en 2019», a-t-elle dit. "Il n’ya aucune raison pour cela."

Comment savoir si mes données d'imagerie médicale sont sécurisées?

Si vous êtes un patient:

Si vous avez passé un examen d'imagerie médicale (rayons X, tomodensitométrie, IRM, échographie, etc.), demandez au prestataire de santé qui l'a effectué (ou à votre médecin) si l'accès à vos images nécessite un identifiant et un mot de passe. Demandez à votre médecin si leur bureau ou le fournisseur d’imagerie médicale auquel ils renvoient les patients effectue une évaluation de sécurité régulière conformément aux exigences de la loi HIPAA.

Si vous êtes un fournisseur d’imagerie médicale ou un cabinet médical:

Des chercheurs ont découvert que les serveurs de systèmes d’archivage d’images et de communication (PACS) intégrant le standard DICOM pouvaient être exposés s'ils étaient connectés directement à Internet sans VPN ou pare-feu ou si leur accès n’exigeait pas un mot de passe sécurisé. Vous ou votre équipe informatique devez vous assurer que votre serveur PACS ne peut pas être accédé via Internet sans une connexion VPN et un mot de passe. Si vous connaissez l'adresse IP de votre serveur PACS mais ne savez pas si elle est (ou a été) accessible via Internet, veuillez nous contacter à l'adresse suivante: [email protected].

Doris Burke a contribué aux reportages. Autres reportages de Hakan Tanriverdi, Maximilian Zierer, Steffen Kühne et Oliver Schnuck de Bayerischer Rundfunk.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.