Patienters medicinske billeder kan ses via internettet
Mere end en milliard medicinske billeder af patienter på hospitalsservere er frit tilgængelige fra internettet.
En del af billederne kan endda downloades, ændres og gemmes igen på hospitalsserverne. Det kunne eksempelvis være en 4chan-lignende prank at indtegne sorte skygger på lunge-røntgenbilleder.
»Hvis du går til lægen og får taget et røntgenbillede eller et andet medicinsk billede, så ender det på en PACS-server. Det anvendes som storage på alle hospitaler og giver læger adgang til billeder af patienter,« forklarer Lucas, hvis officielle titel er Senior Manager hos it-sikkerhedsfirmaet BDO.
Adgang uden userid og password
Problemet med de medicisnke images er, at PACS (Picture Archiving and Communication System) og det beslægtede DICOM (Digital Imaging and Communications in Medicine) anvender gamle protokoller fra en tid, hvor der ikke var tænkt på sikkerhed i forbindelse med internet- og web-adgang.
Mød Lucas Lundgren på Infosecurity Denmark + Data & Cloud Expo 2020 It-sikkerheds- og datamessen Infosecurity Denmark Data&Cloud 2020 byder på to dage med masser af faglig viden og netværk d. 30. september og 1. oktober i København.
Lucas Lundgren, forsker og it-sikkerhedsekspert, holder oplæg om it-sikkerhed under titlen Sticks and Stones, Breaking Bones: Millions of medical images are exposed online. Anyone can take a peek.
Konferencen giver et unikt indblik i de nyeste tekniske landvindinger fra spydspidsforskere samt aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.
Læs mere og tilmeld dig ved at klikke her.
Husk også at sætte 24. Juni kl 14 i kalenderen. Her giver Lucas Lundgren nemlig en forsmag på sin Keynote i et Webinar med journalist på Ingeniøren, Mads Lorenzen.
Tilmeld dig webinar her.
Et af de første PACS-systemer var fra 1972.
»Det er ikke så godt, hvis PACS-serveren er eksponeret til internettet,« fortæller Lucas Lundgreen og kommer så med en oplysning, som Version2s journalist beder Lucas om at gentage.
»Det er heller ikke så godt, da der slet ikke nogen autorisation; der kræves ikke user-id eller password for at få adgang til systemerne«.
Det kræver en PACS-klient, men derefter er der fri adgang til alle mulige medicinske billeder.
En enkelt black hat-gerning
Heldigvis har Lucas Lundgreen en hvid hat på, når han i sit arbejde og sin fritid identificerer sårbare medicinske image-servere.
»Det lyder måske lidt klichéagtigt, men jeg vil gerne hjælpe verden med at blive et bedre sted,« siger den 38-årige Lucas, som startede med it i en tidlig alder, da han som 6-årig fik en Commodore 64 af sin bedstemor.
Der fra gik det over Amiga til PC, hvor der lystigt blev kopieret spil med venner og bekendte. Da han var omkring 12 år fungerede en enkelt disk ud af 12 diske ikke til et spil som han havde byttet sig til med en bekendt. Den bekendte ville kun give Lucas en fungerende diskette, hvis Lucas gav ham endnu et spil.
Den form for afpresning motiverede Lucas til en enkelt black hat-gerning. Lucas skrev en logisk bombe, der gjorde det umuligt at læse en diskette efter et vist tidsinterval og byttede derefter spil-disketter med den bekendte. Da den bekendte efter et stykke tid ringede og klagede over pludseligt ulæselige disketter, lovede Lucas at give ham nogle læsbare disketter. Hvis Lucas fik et andet spil.
Installeres uden sikkerhed
I dag følger Lucas en anden tankegang og prøver at gøre hospitalerne opmærksomme på, at medicinske billeder er tilgængelige fra internettet.
»Vi gør hospitalerne opmærksomme på problemet, men det er ikke altid nemt at finde frem til de ansvarlige for PACS-serverne. Hvis vi får fat i nogen, har de ikke tid eller kompetencer til at gøre noget ved det,« siger Lucas Lundgreen.
Det er ofte tredjepartsleverandører, der sætter serverne op, og de bliver ikke altid konfigureret efter sikkerhedsanbefalingerne.
»Der er en standard for at opsætte DICOM og PACS korrekt, men den følges ikke ofte, måske har de ikke kendskab til den.«
Derudover findes der et væld af devices, som har adgang til serverne, og hvis der pludselig kræves brugernavn og password for adgang, vil det kræve opdatering af alle de apparater, hvilket langt fra er muligt i alle tilfælde.
Et simpelt fix
Der er dog et relativt enkelt fix som handler om at afskære serverne fra internettet, så de kun er tilgængelige via hospitalets intranet. Derfor handler det meget om kommunikation og om at få budskabet ud til de ansvarlige for at få løst problemet, mener Lucas Lundgreen.
»Hvis læger ønsker adgang udefra, kan det gøres med VPN.«
»Vi vil gerne øge kendskabet til problemet. Hvis du arbejder i et hospital, så spørg om de medicinske billeder er eksponeret til internettet,« siger Lucas Lundgreen.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.