
Recherche: Plus de 1B d'images, les données des patients ne sont pas protégées – Bien choisir son serveur d impression
Le problème de l'accès sans restriction aux images et aux données médicales sur des serveurs non protégés semble s'aggraver.
On estime que 1,19 milliard d'images associées à des études médicales non protégées se sont avérées disponibles sur des archives médicales connectées à Internet, selon des recherches en cours sur les serveurs d'organisations de soins de santé qui contiennent des images non protégées et d'autres informations personnelles sur la santé.
La dernière estimation a été révélée lundi dans un blog par Greenbone Networks, une entreprise allemande qui propose une solution open source pour l'analyse et la gestion des vulnérabilités.
Dans un rapport mis à jour, Greenbone a constaté que le nombre d'images associées à des études médicales non protégées est en hausse de 60% par rapport aux 737 millions d'images trouvées l'automne dernier. Les 1,19 milliards d'images étaient liées à 35 millions d'études, en hausse de 40% par rapport à 24,5 millions d'études de patients du monde entier l'automne dernier.
Les recherches antérieures de Greenbone ont été détaillées en septembre dans ProPublica, et il espérait voir des progrès dans la protection des images médicales.
"Trouver encore plus d'études, avec plus d'images qui leur sont liées, n'est pas ce que nous nous attendions à voir", a noté Greenbone dans le blog. «Pour la plupart des systèmes que nous avons examinés, nous avions – et avons toujours – un accès continu aux informations personnelles sur la santé» associées aux images.
Les recherches de Greenbone ont révélé que des centaines d'hôpitaux, de cabinets médicaux et de centres d'imagerie utilisent des systèmes de stockage non sécurisés – le manque de sécurité permet à toute personne disposant d'une connexion Internet et d'un logiciel facilement téléchargeable d'accéder aux images médicales des patients. Environ la moitié des images exposées, y compris les rayons X, les ultrasons et les tomodensitogrammes, proviennent de patients aux États-Unis.
Les images sont aux normes DICOM, généralement stockées sur un serveur lié à un système d'archivage et de communication d'images (PACS) pour permettre un stockage et un partage faciles. De nombreux fournisseurs laissent ces serveurs connectés à Internet, sans mot de passe, pour faciliter le partage. Greenbone soutient que les serveurs non protégés exposent également les informations personnelles sur la santé des patients associées aux images, disponibles sur des «pages de garde» numériques connectées aux fichiers DICOM.
Aux États-Unis, "non seulement les chiffres agrégés ont atteint un niveau inquiétant, mais nous avons également trouvé des ensembles de données alarmants stockés dans des systèmes PACS non protégés", note le blog de Greenbone. "Une très grande archive permet un accès complet à PHI, y compris toutes les images liées aux 1,2 million d'examens, en plus – pour environ 75 pour cent des noms individuels stockés – elle divulgue également les numéros de sécurité sociale."
Une autre archive semble contenir des données sur le personnel militaire, y compris son ID DoD, lorsque les noms des institutions sont utilisés comme indicateur.
Le rapport de Greenbone est accessible ici.
Les organisations de soins de santé doivent intensifier leurs efforts pour protéger les images, déclare Mounir Hahad, directeur des laboratoires Juniper Threat Labs chez Juniper Networks.
«D'une manière générale, dans ce genre de situation, c'est la configuration du réseau qui est en faute avant tout», explique Hahad. «Aucun système gérant des données sensibles ne devrait être accessible depuis Internet sans… un VPN ou une méthode d'authentification forte. Le protocole DICOM lui-même a été développé il y a longtemps et n'a pas pris en compte les implications de la cybersécurité.
«C'est souvent le cas lorsque des applications héritées sont déplacées des centres de données fortifiés vers des environnements cloud que des fuites de données se produisent», ajoute-t-il. «Ces applications et bases de données peuvent ne pas avoir les considérations de sécurité adéquates pour garantir la confidentialité des données.»
Selon le PDG d'Appsian, Piyush Pandey, pour à la fois protéger efficacement les images et les données tout en permettant d'accéder à ces actifs numériques selon les besoins, une protection granulaire des systèmes d'information est difficile à gérer pour la plupart des organisations.
«Les données sur la santé ont augmenté de 878% depuis 2016, sans signe de ralentissement et sans réponses faciles», dit-il. «Un élément essentiel pour garantir l'intégrité des données est la mise en œuvre de fonctionnalités qui posent des problèmes de sécurité granulaires sur des éléments de données spécifiques (à l'intérieur des systèmes et des applications) ainsi que des fonctionnalités qui améliorent la capacité de l'organisation à voir qui accède aux données sensibles, d'où et sur quel appareil.»
Les mesures de sécurité devraient permettre aux utilisateurs d'accéder uniquement aux informations dont ils ont besoin, ajoute Pandey.
«Les organisations de soins de santé peuvent établir des politiques commerciales solides qui sont« centrées sur les données »et peuvent s’adapter en conséquence à divers contextes d’accès», ajoute-t-il. «Seuls les utilisateurs peuvent (peuvent) accéder aux données qu'ils sont autorisés à consulter et à modifier. Ainsi, offrant un maximum de sécurité et de conformité; le tout sans limiter la productivité des utilisateurs.
window.fbAsyncInit = function() FB.init(
appId : '495606254379881',
xfbml : true, version : 'v2.9' ); ;
(function(d, s, id) var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/en_US/sdk.js"; fjs.parentNode.insertBefore(js, fjs); (document, 'script', 'facebook-jssdk'));
Commentaires
Laisser un commentaire