Serveur d'impression

Un milliard d'images médicales sont exposées en ligne, les médecins ignorant les avertissements – Serveur d’impression

Le 6 février 2020 - 13 minutes de lecture

Chaque jour, des millions de nouvelles images médicales contenant les informations personnelles sur la santé des patients se répandent sur Internet.

Des centaines d'hôpitaux, de cabinets médicaux et de centres d'imagerie utilisent des systèmes de stockage non sécurisés, permettant à toute personne disposant d'une connexion Internet et d'un logiciel gratuit de télécharger plus d'un milliard d'images médicales de patients à travers le monde.

Aux États-Unis, environ la moitié des images exposées, qui comprennent des radiographies, des ultrasons et des tomodensitogrammes, appartiennent à des patients.

Pourtant, malgré les avertissements des chercheurs en sécurité qui ont passé des semaines à alerter les hôpitaux et les cabinets médicaux sur le problème, beaucoup ont ignoré leurs avertissements et continuent de divulguer les informations médicales privées de leurs patients.

"Cela semble empirer de jour en jour", a déclaré Dirk Schrader, qui a dirigé la recherche au sein de la société de sécurité allemande Greenbone Networks, qui surveille le nombre de serveurs exposés depuis un an.

<p class = "canvas-atom canvas-text Mb (1.0em) Mb (0) – sm Mt (0.8em) – sm" type = "text" content = "Le problème est bien documenté. Greenbone trouvé 24 millions d'examens de patients stockant plus de 720 millions d'images médicales en septembre, ce qui déterré l'échelle du problème tel que rapporté par ProPublica. Deux mois plus tard, le nombre de serveurs exposés avait augmenté de plus de la moitié, à 35 millions d'examens de patients, exposant 1,19 milliard de scans et représentant une violation considérable de la vie privée des patients. "data-reactid =" 21 "> Le problème est bien documenté. Greenbone a trouvé 24 millions d'examens de patients stockant plus de 720 millions d'images médicales dans Septembre, qui a révélé pour la première fois l'ampleur du problème tel que rapporté par ProPublica. Deux mois plus tard, le nombre de serveurs exposés avait augmenté de plus de la moitié, atteignant 35 millions d'examens de patients, exposant 1,19 milliard d'analyses et représentant une violation considérable de la vie privée des patients.

Mais le problème montre peu de signes d'atténuation. "La quantité de données exposées continue d'augmenter, même compte tenu de la quantité de données mises hors ligne en raison de nos divulgations", a déclaré Schrader.

Si les médecins n'agissent pas, il a déclaré que le nombre d'images médicales exposées atteindrait un nouveau record "en un rien de temps".

Les chercheurs affirment que le problème est causé par une faiblesse commune trouvée sur les serveurs utilisés par les hôpitaux, les cabinets de médecins et les centres de radiologie pour stocker les images médicales des patients.

Un format de fichier vieux de plusieurs décennies et une norme industrielle connue sous le nom de DICOM ont été conçus pour permettre aux médecins de stocker plus facilement les images médicales dans un seul fichier et de les partager avec d'autres cabinets médicaux. Les images DICOM peuvent être visualisées à l'aide de l'une des applications gratuites, comme le ferait n'importe quel radiologue. Les images DICOM sont généralement stockées dans un système d'archivage et de communication d'images, appelé serveur PACS, permettant un stockage et un partage faciles. Mais de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques de sécurité et connectent leur serveur PACS directement à Internet sans mot de passe.

Ces serveurs non protégés exposent non seulement l'imagerie médicale mais également les informations de santé personnelles des patients. De nombreux scans de patients incluent des pages de garde intégrées au fichier DICOM, y compris le nom du patient, sa date de naissance et des informations sensibles sur leurs diagnostics. Dans certains cas, les hôpitaux utilisent le numéro de sécurité sociale d'un patient pour identifier les patients dans ces systèmes.

Lucas Lundgren, un chercheur en sécurité basé en Suède, a passé une partie de l'année dernière à étudier l'étendue des données d'images médicales exposées. En novembre, il a démontré à TechCrunch à quel point il était facile pour quiconque de visualiser les données médicales des serveurs exposés. En quelques minutes, il a découvert l'un des plus grands hôpitaux de Los Angeles, exposant des dizaines de milliers de scans de patients datant de plusieurs années. Le serveur a ensuite été sécurisé.

Certains des plus grands hôpitaux et centres d'imagerie des États-Unis sont les principaux responsables de la divulgation de données médicales. Schrader a déclaré que les données exposées exposent les patients au risque de devenir "des victimes parfaites de la fraude à l'assurance médicale".

Pourtant, les patients ne savent pas que leurs données pourraient être exposées sur Internet pour quiconque puisse les trouver.

<p class = "canvas-atom canvas-text Mb (1.0em) Mb (0) – sm Mt (0.8em) – sm" type = "text" content = "The Mighty, qui examiné l'effet sur les patients, a découvert que les informations médicales exposées exposent les patients à un risque accru de fraude à l'assurance et de vol d'identité. Les données exposées peuvent également éroder la relation entre les patients et leurs médecins, ce qui les rend moins disposés à partager des informations potentiellement pertinentes. "Data-reactid =" 39 "> Le Mighty, qui a examiné l'effet sur les patients, a découvert que les informations médicales exposées mettaient les patients à un risque plus élevé de fraude à l'assurance et de vol d'identité. Les données exposées peuvent également éroder la relation entre les patients et leurs médecins, ce qui rend les patients moins enclins à partager des informations potentiellement pertinentes.

Dans le cadre de notre enquête, nous avons trouvé un certain nombre de centres d'imagerie américains stockant des décennies de scans de patients.

Un patient, dont les informations ont été révélées à la suite d'une visite aux urgences en Floride l'année dernière, a décrit ses données médicales exposées comme «effrayantes» et «inconfortables». Une autre personne atteinte d'une maladie chronique a subi des examens réguliers dans un hôpital de Californie sur une période de 30 ans. Et un serveur non protégé dans l'un des plus grands hôpitaux militaires des États-Unis a dévoilé les noms du personnel militaire et des images médicales.

Mais même dans le cas de patients avec seulement une ou une poignée d'images médicales, les données exposées peuvent être utilisées pour déduire une image de la santé d'une personne, y compris les maladies et les blessures.

Afin de sécuriser les serveurs, Greenbone a contacté le mois dernier plus d'une centaine d'organisations à propos de leurs serveurs exposés. De nombreuses petites organisations ont par la suite sécurisé leurs systèmes, ce qui a entraîné une légère baisse du nombre total d'images exposées. Mais lorsque la société de sécurité a contacté les 10 plus grandes organisations, qui représentaient environ un sur cinq de toutes les images médicales exposées, Schrader a déclaré qu'il n'y avait "aucune réponse".

Greenbone a partagé en privé les noms des organisations pour permettre à TechCrunch de faire le suivi avec chaque cabinet médical, y compris un fournisseur de soins de santé avec trois hôpitaux à New York, une société de radiologie en Floride avec une douzaine de sites et un grand hôpital basé en Californie. (Nous ne nommons pas les organisations concernées pour limiter le risque d'exposer les données des patients.)

Une seule organisation a sécurisé ses serveurs. Northeast Radiology, un partenaire d'Alliance Radiology, avait le plus grand cache de données médicales exposées aux États-Unis, selon les données de Greenbone, avec plus de 61 millions d'images sur environ 1,2 million de patients dans ses cinq bureaux. Le serveur n'a été sécurisé qu'après le suivi de TechCrunch un mois après que Greenbone a averti pour la première fois l'organisation de l'exposition.

La porte-parole de l'Alliance Tracy Weise a refusé de commenter.

Schrader a déclaré que si les organisations affectées restantes retiraient leurs systèmes exposés d'Internet, près de 600 millions d'images "disparaîtraient" d'Internet.

<p class = "canvas-atom canvas-text Mb (1.0em) Mb (0) – sm Mt (0.8em) – sm" type = "text" content = "Les experts qui ont mis en garde contre les serveurs exposés depuis des années disent Yisroel Mirsky, un chercheur en sécurité qui a étudié les failles de sécurité des équipements médicaux, a expliqué Yisroel Mirsky. l'année dernière que les fonctions de sécurité définies par l'organisme de normalisation qui ont créé et maintenu la norme DICOM ont été "largement ignorés" par les fabricants d'appareils. "data-reactid =" 55 "> Les experts qui mettent en garde contre les serveurs exposés depuis des années affirment que les pratiques médicales ont peu d'excuses. Yisroel Mirsky, a étudié les failles de sécurité des équipements médicaux, a déclaré l'année dernière que les fonctionnalités de sécurité définies par l'organisme de normalisation qui avait créé et maintenu la norme DICOM avaient été "largement ignorées" par les fabricants d'appareils.

Schrader n'a pas blâmé les fabricants d'appareils. Au lieu de cela, il a déclaré que c'était de la "pure négligence" que les cabinets médicaux n'aient pas correctement configuré et sécurisé leurs serveurs.

Lucia Savage, ancienne responsable principale de la protection de la vie privée au département américain de la Santé et des Services sociaux, a déclaré que davantage doit être fait pour améliorer la sécurité dans le secteur des soins de santé – en particulier au niveau des petites organisations qui manquent de ressources.

"Si les données sont des informations personnelles sur la santé, elles doivent être protégées contre tout accès non autorisé, ce qui inclut de les trouver sur Internet", a déclaré Savage. "Il y a une obligation égale de verrouiller la salle des dossiers qui contient vos dossiers médicaux papier comme c'est le cas pour sécuriser les informations de santé numériques", a-t-elle déclaré.

Les dossiers médicaux et les données de santé personnelles sont hautement protégés par la loi américaine. La Loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) a créé la "règle de sécurité", qui comprenait des garanties techniques et physiques conçues pour protéger les informations de santé personnelles électroniques en garantissant la confidentialité et la sécurité des données. La loi tient également les prestataires de soins de santé responsables de toute lacune de sécurité. Le non-respect de la loi peut entraîner des sanctions sévères.

"Alors que la santé et les services sociaux s'efforcent activement de permettre à un plus large éventail de parties d'avoir accès aux informations sensibles sur la santé des patients américains sans protection traditionnelle de la vie privée attachée à ces informations, l'inattention de HHS à cet incident particulier devient encore plus troublante."
Le sénateur Mark Warner (D-VA)

<p class = "canvas-atom canvas-text Mb (1.0em) Mb (0) – sm Mt (0.8em) – sm" type = "text" content = "Le gouvernement de l'année dernière une entreprise d'imagerie médicale basée au Tennessee reçoit une amende de 3 millions de dollars pour avoir exposé par inadvertance un serveur contenant plus de 300 000 données patient protégées. "data-reactid =" 62 "> L'an dernier, le gouvernement a infligé une amende de 3 millions de dollars à une société d'imagerie médicale du Tennessee pour avoir exposé par inadvertance un serveur contenant plus de 300 000 données patient protégées.

Deven McGraw, qui était le plus haut responsable de la protection de la vie privée dans le bras de l'application des lois sur la santé et les services humains – le Bureau des droits civils, a déclaré que si l'aide à la sécurité était plus disponible pour les petits fournisseurs, le gouvernement pourrait concentrer ses efforts d'application sur les fournisseurs qui ignorent volontairement leur sécurité obligations.

«La mise en application par le gouvernement est importante, tout comme les conseils et le support pour les fournisseurs disposant de peu de ressources et les solutions faciles à déployer intégrées à la technologie», a déclaré McGraw. "Il peut être trop difficile pour un seul organisme d'application de la loi de vraiment mettre un frein."

Depuis que l'échelle des serveurs médicaux exposés a été révélée pour la première fois en septembre, le sénateur Mark Warner (D-VA) a demandé des réponses aux services de santé et aux services sociaux. Warner a reconnu que le nombre de serveurs exposés basés aux États-Unis avait diminué – 16 serveurs stockant 31 millions d'images – mais a déclaré à TechCrunch que "davantage doit être fait".

"À ma connaissance, la santé et les services sociaux n'ont rien fait à ce sujet", a déclaré Warner à TechCrunch. "Alors que la santé et les services sociaux s'efforcent activement de permettre à un plus large éventail de parties d'avoir accès aux informations sensibles sur la santé des patients américains sans protection traditionnelle de la vie privée attachée à ces informations, l'inattention de HHS à cet incident particulier devient encore plus troublante", a-t-il ajouté.

Le Bureau des droits civils de la santé et des services sociaux a déclaré qu'il ne commentait pas les cas individuels, mais a défendu ses mesures d'application.

"L'OCR a pris des mesures d'application dans le passé pour remédier aux violations concernant les serveurs de stockage non protégés, et continue d'appliquer rigoureusement les règles HIPAA", a déclaré le porte-parole.

"Nous continuerons de faire de notre mieux pour améliorer la situation mondiale des systèmes non protégés", a déclaré Schrader. Mais il a dit qu'il ne pouvait pas faire beaucoup plus que d'avertir les organisations de leurs serveurs exposés.

"Alors c'est une question pour les régulateurs", a-t-il dit.

Les téléavertisseurs du NHS divulguent des données médicales

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.