Περισσότερες από 45 εκατομμύρια ιατρικές πράξεις και αποτελέσματα, συμπεριλαμβανομένων των ακτίνων Χ και των σαρώσεων CT, έχουν αφεθεί εκτεθειμένες σε διακομιστές χωρίς προστασία.
Σύμφωνα με μία αποκαλυπτική έκθεση του CybelAngel υπάρχουν εκατομμύρια ευαίσθητα ιατρικά αποτελέσματα, συμπεριλαμβανομένων προσωπικών πληροφοριών υγειονομικής περίθαλψης, που είναι διαθέσιμα χωρίς κρυπτογράφηση και χωρίς προστασία με κωδικό πρόσβασης.
Δεν χρειάζεται όνομα χρήστη ή κωδικός πρόσβασης
Οι αναλυτές διαπίστωσαν ότι τα διαθέσιμα ιατρικά αποτελέσματα, συμπεριλαμβανομένων έως 200 γραμμών μεταδεδομένων ανά εγγραφή, που περιελαμβάνουν προσωπικά αναγνωρίσιμες πληροφορίες, όπως όνομα, ημερομηνία γέννησης, διεύθυνση, ύψος, βάρος, διάγνωση κ.λπ., μπορούν να τα δουν χωρίς να απαιτείται όνομα χρήστη ή κωδικός πρόσβασης. Σε ορισμένες περιπτώσεις, οι πύλες σύνδεσης δέχτηκαν κενά ονόματα χρήστη και κωδικούς πρόσβασης.
“Το γεγονός ότι δεν χρησιμοποιήσαμε κανένα εργαλείο πειρατείας σε όλη την έρευνά μας, υπογραμμίζει την ευκολία με την οποία μπορέσαμε να ανακαλύψουμε και να αποκτήσουμε πρόσβαση σε αυτά τα αρχεία”, λέει ο David Sygula , αναλυτής στο CybelAngel.
“Πρόκειται για μια ανησυχητική ανακάλυψη και αποδεικνύει ότι πρέπει να εφαρμοστούν αυστηρότερες διαδικασίες ασφαλείας για την προστασία του τρόπου με τον οποίο κοινοποιούνται και αποθηκεύονται ευαίσθητα ιατρικά δεδομένα από επαγγελματίες υγείας. Η ισορροπία μεταξύ ασφάλειας και προσβασιμότητας είναι επιτακτική για να αποφευχθεί η διαρροή από μία παραβίαση δεδομένων”.
Ο Todd Carroll, CISO της CybelAngel σχολίασε περαιτέρω: “Τα ιατρικά κέντρα συνεργάζονται με έναν τεράστιο, διασυνδεδεμένο ιστό τρίτων παρόχων και το cloud είναι μια ουσιαστική πλατφόρμα για κοινή χρήση και αποθήκευση δεδομένων. Ωστόσο, τα κενά στην ασφάλεια, παρουσιάζουν τεράστιο κίνδυνο, τόσο για τα άτομα των οποίων τα δεδομένα έχουν παραβιαστεί όσο και για τα ιδρύματα υγειονομικής περίθαλψης που διέπονται από κανονισμούς για την προστασία των δεδομένων των ασθενών”.
“Ο τομέας της υγείας αντιμετώπισε πρωτοφανείς προκλήσεις φέτος, ωστόσο η ασφάλεια και το απόρρητο των περισσότερων προσωπικών αρχείων των ασθενών τους πρέπει να προστατευθούν, για να αποφευχθούν τα εμπιστευτικά δεδομένα να πέσουν σε λάθος χέρια”.
Κίνδυνοι ασφαλείας για τα προσβάσιμα αποτελέσματα
Η έκθεση υπογραμμίζει τους κινδύνους ασφαλείας των προσβάσιμων στο κοινό αποτελεσμάτων που περιέχουν ιδιαίτερα προσωπικές πληροφορίες, όπως για ransomware και εκβιασμό. Ο τύπος αυτός των δεδομένων κερδίζει πριμοδότηση στον σκοτεινό ιστό.
Από πλευράς συμμόρφωσης, οι πάροχοι υγειονομικής περίθαλψης υπόκεινται επίσης σε κυρώσεις βάσει κανονισμών, όπως ο GDPR στην Ευρώπη και ο HIPAA στις ΗΠΑ, για παραβιάσεις ευαίσθητων πληροφοριών για τον ασθενή.