Patienters medicinske billeder kan ses via internettet

Igen viser det sig at det største issue for sundhedssystem er grundlæggende prioritering af CIA-triad.

Arbejdsbetingelser er at availability altid har den højeste prioritering, efterfulgt af integrity. Confidentiality er godt nok underprioriteret.

Når der ligger en bevistløs, døende patient fortrolighed er det sidste man tænker på.

Blot et par yderligere kommentarer. Hvis artiklen citerer Lucas Lundgren korrekt så har han fået blandet en forfærdelig masse ting sammen som giver et voldsomt forkert billede af PACS. Hans kritik af DICOM standarden er på mange måder korrekt, men at konkludere at alle PACS systemer står pivåbent fra internettet, og at der ikke er adganskontrol, authentication og logning af bruger aktivitet indenfor PACS er i alle systemer jeg kender til ukorrekt. Det er uden relevans at der i 1972 var PACS systemer der internt i selve PACS bar baseret på ren DICOM. Disse systemer er så vidt jeg ved for længst gået al kødets gang. Han kan have en pointe om at kommunikationen via DICOM ud og ind af PACS kan være sårbar, men ingen regioner udstiller deres DICOM interface på internettet. Det er på den lange bane nået usammenhængende vås der diskes op med.

Jeg har tidligere beskæftiget mig indgående med kravspecifikation, projktledelse, drift og administration af PACS og Medical Imaging udstyr, herunder et utal af DICOM opsætninger af såvel PACS som Billeddanende apparater og deres tilhørende special arbejdsstationer og konsoller. DICOM standarden indeholder faktisk nogle optioner til sikker kommunikation men jeg er aldrig stødt på udstyr der understøttede dem. Men jeg er ALDRIG stødt på at nogen hospitaler i Regionerne har udstillet deres PACS udstyrs DICOM interface på internettet. Det er jo ikke det samme som det ikker er sket, men i alle tilfælde jeg kender til er de gemt bag firewalls, og hvis der udveksles PACS data mellem Regionerne via DICOM så er det ALTID sket via dedikerede VPN forbindelser eller sundhedsdatanettet. Den største fare er derfor efter min opfattelse overhovedet ikke internettet, men hospitalernes egne intranet. DICOM standardens sikkerhed kan med en vis ret betegnes som "Security by Obscurity" idet det er en krøllet standard at sætte sig ind i. De PACS installationer jeg har haft med at gøre har dog alle haft en form for "sikkerhed" hvor forsøg på tilgang til data verificeres IP addresse og såkaldt "AE title" for at sikre at det er en kendt enhed og man kan normalt begrænse mulighederne til hvad den givne enhed har adgang til - eksempelvis kun at sende DICOM data, at modtage DICOM data, at søge og hente DICOM data. Men jeg har da også set udstyr som var konfigureret til åben adgang fra intranettet. Og selv med korrekt opsat udstyr så vil en hacker med adgang til at logge netværkstrafik kunne læse IP og AE titles og ganske let spoofe disse m.h.p. at tilgå data. Men i et switchet netværk er det ikke så ligetil at logge netværkstrafikken men for den rette person kan der sikkert findes måder at omgå dette. Man kan i vid omfang komme omkring dette sikerhedsproblem ved at segmentere sit intranet på en måde så alt billedudstyr isoleres på subnets hvor der kun åbnes op til de enheder man ønsker at kommunikere med. M.h.t. PACS systemet så udveksler de jo billeddata via DICOM protokollen, men det er for moderne PACS systemer kun med eksterne enheder (ikke en del af PACS). Internt i PACS har alle de kendte systemer fra de kendte PACS leverandører logning af bruger-henførbar aktivitet, inklusive udveksling af DICOM ind og ud af systemerne, men for disse kun på IP/AE title niveau (idet det formodes at det modtagende system har bruger logning). Og så kan man jo synes at dette er ganske forfærdeligt, og det kunne da også være bedre. Men man skal lige huske på at der faktisk ikke er nogen alternativer. DICOM standarden er lingua franca for udveksling af data mellem billeddannede systemer, men indenfor en PACS system-sfære anvendes der typiske andre protokoller som både er er krypteret og authenticated med fuld bruger-henførbar logning. Det vil efter min opfattelse være utænkeligt at erstatte DICOM protokollen indenfor overskuelig fremtid. Der er bundet astronomiske investeringer i PACS og billeddannende apparater i de danske regioner som skal opgraderes eller udskiftes, og så skal man lige finde en erstatning for DICOM standarden - eller modificere den til en højere grad af sikkerhed - og så skal man også lige få ALLE leverandører til at understøtte den modificerede standard.

DICOM er en meget formalistisk standard, der er enormt omfattende (http:dicom.nema.org). Den kan gemme/sende stort set alle slags medicinske billeder og en masse andre data (f.eks. EKG). Det største problem med DICOM er nok at standarden ud over datamodel osv også beskriver netværkskommunikationen. Og der er sket for meget (f.eks.kender jeg ikke noget system, der understøtter IPv6). Kendskab til IP-adresse, et portnummer og et "navn" (Application Entity Title) er nok til at kunne kommunikere med et minimalt konfigureret DICOM-system . Det er dog klient og server, der skal være konfigureret til at kommunikere med hinanden. Netop dette skalerer ikke og er ret bøvlet hvis man har 100+ (måske endda 1000+) systemer, som skal kommunikere på kryds og tværs. Derfor konfigurerer man servere ofte således at de tillader kommunikation med alle - hvordan skulle man ellers håndtere f.eks. mobile ultralyd-scannere, der er på WiFi på forskellige netværk i forskellige bygninger i forskellige IP-subnet? De fleste server- og netværksfolk har ikke forståelse for en klinisk hverdag og designer netværk ud fra andre præmisser - hvilket også er forståeligt. Heldigvis kan man - på klientbasis - udelukke andre fra at kigge i serverens database. Bestemte klienter kan f.eks. udelukkende aflevere data, men ikke se hvad serveren ellers gemmer.

Alle systemer, jeg kender til, sidder bag en "rigtig" firewall, og de forskellige regioner og privathsopitaler kommunikerer via VPN (sandsynligvis SDN). Så fra internettet er der ingen risiko i DK, i hvert fald ikke noget, der er større end ved alt mulig andet. "Store" systemer (f.eks. PACS-systemerne) er også ordentligt konfigureret, da det er server-folk der drifter dem.

Man også huske at DICOM standarden udtrykkeligt siger, at sikkerhed er et applikationsproblem og ikke dækket af standarden. Men det betyder også ofte, at sikkerhed bliver glemt efter systemet er anskaffet.

<a href="http://dicom.nema.org/medical/dicom/current/output/html/part08.html#sec…;
<p>DICOM does not specify how a secure transport connection is established, or the significance of any certificates exchanged during peer entity authentication. These issues are left up to the application, which is assumed to be following some security policy. Once the application has established a secure Transport Connection, then an Upper Layer Association can use that secure channel.

De sikkerhedsbrist, jeg kender til, og formentligt også er omtalt i artikelen, skyldes uansvarlig drift af servere, der er eksponeret mod internettet. Det svarer til at lave portforwarding på din router derhjemme og fildeling på din PC for at kunne tilgå dokumenter på farten (altså uden VPN). Ikke noget "professionelle" gør, men en IT-begejstret teenager måske overser, når han skal konfigurere et lille program (prøv f.eks. Horos, http://horosproject.org) i bedsteforældrenes lægeklinik.

»Vi vil gerne øge kendskabet til problemet. Hvis du arbejder i et hospital, så spørg om de medicinske billeder er eksponeret til internettet,« siger Lucas Lundgreen.</p>
<p>I Danmark er det ikke den enkelte hospitalsansatte medarbejder, der er ansvarlig for at løse problemet. Ærligt talt.

Suk!, dybt suk!, Dybt, dybt suk!

Jeg synes, det ville være relevant at få præciseret, hvor stort problemet er her, lokalt, i Danmark. For ordens skyld.

Konferencen, Infosecurity, afholdes herhjemme, og artiklen omhandler teknologi, der også anvendes i det danske sundhedsvæsen, med en direkte appel til læseren.

Det kunne blot være en note, der beskriver de lokale forhold. For at eliminere enhver tvivl. For saglighedens skyld, og så man ikke skaber unødig utryghed eller gør den hjemlige sikkerhed desangående til et åbent spørgsmål.

»Vi vil gerne øge kendskabet til problemet. Hvis du arbejder i et hospital, så spørg om de medicinske billeder er eksponeret til internettet,« siger Lucas Lundgreen.

I Danmark er det ikke den enkelte hospitalsansatte medarbejder, der er ansvarlig for at løse problemet. Ærligt talt.

Forvaltes de danske PACS’er via Sundhedsdatanettet (SDN), som Allan Ebdrub fortæller i kommentaren, ligger ansvaret hos MedCom:

https://www.medcom.dk/systemforvaltning

Systemforvaltning dækker hele styrings- og forvaltningsopgaven for IT-løsninger.
Herunder beslutningsprocesserne, leverandørsamarbejdet og IT- og informationssikkerheden.

Ellers råder regionerne over relativt store IT-afdelinger, der finansieres af dine og mine skattekroner, de bærer tilsvarende ansvar:

Region H: ”CIMT”:https://www.regionh.dk/om-region-hovedstaden/denAdministrativeRegion/CIMT/organisation/Sider/default.aspx

Region Sjælland: ”Koncern IT”:https://www.regionsjaelland.dk/omregionen/Organisation/oevrigeafdelingerogenheder/koncern-it/Sider/default.aspxhttps://www.regionsjaelland.dk/omregionen/Organisation/oevrigeafdelingerogenheder/koncern-it/Sider/KIT-Organisation.aspx

Region Nord: ”Digitalisering og IT”https://rn.dk/om-region-nordjylland/organisation/digitalisering-og-it

Region Midt: ”IT”:https://www.rm.dk/om-os/organisation/organisationsplan/velfard/it/Region-Midtjyllands-itafdeling/

Region Syd: ”Regional IT”:https://rsyd.dk/wm484161https://rsyd.dk/default.asp?id=484161&imgid=141119&fullsize=orig

Har et link med liste over leverandører her:https://www.medcom.dk/opslag/koder-tabeller-ydere/koder/rispacs-databaser

Region H og Sjælland bruger AGFA, mig bekendt. De regionale IT-afdelingerne må selv vide, hvilke underleverandører, der servicerer denne del af hospitalsdriften, det er deres ansvar.

Det kunne være fint, at få præciseret problemets omfang i Danmark.

Jeg kender ikke til Pacs uden login - enten via AD single signon eller specifikt Pacs login. Det jeg kender til omkring eksponering af billedediagnostisk materiale, typisk gøres via Medcom services, ganske som Allan Ebdrup skriver.

Det sådan lidt sjove er så, at der på V2's hjemmeside lige nu er en artikel om, hvor kompliceret GDPR er. Det IKKE at "sætte" en server på Internettet med medicinske billeder, hører nok til kategorien for lidt mindre komplicerede GDPR tiltag.

// Jesper

...

"»Vi gør hospitalerne opmærksomme på problemet, men det er ikke altid nemt at finde frem til de ansvarlige for PACS-serverne. Hvis vi får fat i nogen, har de ikke tid eller kompetencer til at gøre noget ved det,« siger Lucas Lundgreen. Det er ofte tredjepartsleverandører, der sætter serverne op, og de bliver ikke altid konfigureret efter sikkerhedsanbefalingerne."

Det er da grove løjer, hvis man ignorerer henvendelser om dette, som jo ligefrem kan være til fare for patienterne.

Hvis ikke problemet er elimineret, som Allan Ebdrup mener, hvad siger GDPR så til det? Er det basis for et bjerg af bøder?

Det bør nævnes at dette problem takles i DK i Sundheds Data Nettet (SDN) https://services.nsi.dk/sdnJeg er langt fra super ekspert i SDN, men vil mene at SDN stort set eliminerer problemt beskrevet i artiklen i DK. Netop problemet beskrevet i artiklen var et emne i informations-møde om SDN afhold af MedCom hvor jeg deltog.