В результате журналистского расследования выявлены огромные массивы незащищённой медицинской информации – от миллионов пациентов по всему миру, на открытых серверах. Эстафету уже подхватило Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik). Согласно ответу на журналистский запрос уже расследовано 17 случаев с информированием затронутых учреждений. Также к сотрудничеству привлечены правительственные организации 46 стран. Следующие шаги могут включать как надзорные меры, так и возбуждение штрафных санкций, сообщили в ведомстве.
Согласно исследованию службы общественного вещания Баварии «Bayerischer Rundfunk – BR» и американской исследовательской платформы ProPublica медицинские данные пациентов оказались на незащищенных общедоступных интернет-серверах по всему миру примерно в 50 странах, всего 16 млн наборов данных. Особенно пострадали пациенты из США. По оценке ProPublica, от одного поставщика рентгенологических услуг были доступны более 1 млн наборов данных. Так, вплоть до сентября были доступны данные, являющиеся личными: дата рождения, имя и фамилия, дата обследования, информация о лечащем враче или о назначенном лечении. Кроме того, во многих случаях были доступны изображения, выполненные различными методами медицинской визуализации: цифровой рентгенографией, компьютерной томографией, ядерно-магнитным резонансом и т.д.
В качестве эксперта по данному вопросу «BR» цитирует Олега Пьяных (Oleg Pianykh)*, профессора радиологии Гарвардской медицинской школы (Harvard Medical School). Тот, в свою очередь, ссылается на исследователей из Массачусетской больницы общего профиля (Massachusetts General Hospital — MGH), начавших отслеживать количество незащищенных серверов цифровой визуализации и коммуникаций в медицине (Digital Imaging and Communications in Medicine — DICOM) во всем мире в 2014 г. Выступая на одной из конференций, О. Пьяных отметил, что стандарты DICOM и HL7 были изначально разработаны в конце 1980-х годов, когда вообще не было концепции безопасности компьютерных сетей. С тех пор технологии, очевидно, развивались, и в DICOM были добавлены функции безопасности, но использование их зависит от инициативы лечебных учреждений: многие из них не имеют ни малейшего понятия, что следует обеспечивать безопасную среду, отметил докладчик.
Формат DICOM (или HL7) используется для архивирования изображений в системе сохранения и передачи изображений (picture archiving and communication system — PACS)**, куда они поступают непосредственно после получения в клинике. Это делается для того, чтобы в последующем их легко можно было извлечь и использовать в лечебно-диагностической работе с пациентом. В рамках исследования, о котором рассказал О. Пьяных, использовали приложение, рассылающее запросы в форматах DICOM или HL7, и среди миллиардов IP-адресов выявляли те, которые откликнулись на запрос: то есть соответствующий компьютер поддерживал данный протокол передачи данных. Таких «медицинских» компьютеров с незащищенными IP-адресами по всему миру выявлено около 3 тыс., из них более 800 полностью открыты для поиска информации о пациентах. США, Индия и Турция – в числе стран, наиболее уязвимых для неправомочного использования медицинских данных. Последнее влечет за собой опасность дискриминации при приеме на работу, выдаче кредитов, страховании и т.п. Однако факты злоупотребления подобными данными пока не установлены.
По материалам www.br.de; www.propublica.org;
www.bsi.bund.de; www.ajronline.org;
фото Олега Пьяных
* How Secure Is Your Radiology Department? Mapping Digital Radiology Adoption and Security Worldwide (2016 ) Mark Stites and Oleg S. Pianykh. American Journal of Roentgenology, 206 (4): 797–804.
** Oglevee C., Pianykh O. (2015) Losing images in digital radiology: more than you think. J. Digit. Imaging; 28(3): 264–271.
Коментарі
Коментарі до цього матеріалу відсутні. Прокоментуйте першим