Patienters medicinske billeder kan ses via internettet

Illustration: Systematic
Gamle protokoller, der ikke tager højde for en internetforbundet verden, anvendes på hospitaler til transmission af røntgenbilleder og andre medicinske billeder – ofte uden tanke på sikkerhed.

Mere end en milliard medicinske billeder af patienter på hospitalsservere er frit tilgængelige fra internettet.

En del af billederne kan endda downloades, ændres og gemmes igen på hospitalsserverne. Det kunne eksempelvis være en 4chan-lignende prank at indtegne sorte skygger på lunge-røntgenbilleder.

»Hvis du går til lægen og får taget et røntgenbillede eller et andet medicinsk billede, så ender det på en PACS-server. Det anvendes som storage på alle hospitaler og giver læger adgang til billeder af patienter,« forklarer Lucas, hvis officielle titel er Senior Manager hos it-sikkerhedsfirmaet BDO.

Adgang uden userid og password

Problemet med de medicisnke images er, at PACS (Picture Archiving and Communication System) og det beslægtede DICOM (Digital Imaging and Communications in Medicine) anvender gamle protokoller fra en tid, hvor der ikke var tænkt på sikkerhed i forbindelse med internet- og web-adgang.

Et af de første PACS-systemer var fra 1972.

»Det er ikke så godt, hvis PACS-serveren er eksponeret til internettet,« fortæller Lucas Lundgreen og kommer så med en oplysning, som Version2s journalist beder Lucas om at gentage.

»Det er heller ikke så godt, da der slet ikke nogen autorisation; der kræves ikke user-id eller password for at få adgang til systemerne«.

Det kræver en PACS-klient, men derefter er der fri adgang til alle mulige medicinske billeder.

En enkelt black hat-gerning

Heldigvis har Lucas Lundgreen en hvid hat på, når han i sit arbejde og sin fritid identificerer sårbare medicinske image-servere.

»Det lyder måske lidt klichéagtigt, men jeg vil gerne hjælpe verden med at blive et bedre sted,« siger den 38-årige Lucas, som startede med it i en tidlig alder, da han som 6-årig fik en Commodore 64 af sin bedstemor.

Der fra gik det over Amiga til PC, hvor der lystigt blev kopieret spil med venner og bekendte. Da han var omkring 12 år fungerede en enkelt disk ud af 12 diske ikke til et spil som han havde byttet sig til med en bekendt. Den bekendte ville kun give Lucas en fungerende diskette, hvis Lucas gav ham endnu et spil.

Den form for afpresning motiverede Lucas til en enkelt black hat-gerning. Lucas skrev en logisk bombe, der gjorde det umuligt at læse en diskette efter et vist tidsinterval og byttede derefter spil-disketter med den bekendte. Da den bekendte efter et stykke tid ringede og klagede over pludseligt ulæselige disketter, lovede Lucas at give ham nogle læsbare disketter. Hvis Lucas fik et andet spil.

Installeres uden sikkerhed

I dag følger Lucas en anden tankegang og prøver at gøre hospitalerne opmærksomme på, at medicinske billeder er tilgængelige fra internettet.

»Vi gør hospitalerne opmærksomme på problemet, men det er ikke altid nemt at finde frem til de ansvarlige for PACS-serverne. Hvis vi får fat i nogen, har de ikke tid eller kompetencer til at gøre noget ved det,« siger Lucas Lundgreen.

Det er ofte tredjepartsleverandører, der sætter serverne op, og de bliver ikke altid konfigureret efter sikkerhedsanbefalingerne.

»Der er en standard for at opsætte DICOM og PACS korrekt, men den følges ikke ofte, måske har de ikke kendskab til den.«

Derudover findes der et væld af devices, som har adgang til serverne, og hvis der pludselig kræves brugernavn og password for adgang, vil det kræve opdatering af alle de apparater, hvilket langt fra er muligt i alle tilfælde.

Et simpelt fix

Der er dog et relativt enkelt fix som handler om at afskære serverne fra internettet, så de kun er tilgængelige via hospitalets intranet. Derfor handler det meget om kommunikation og om at få budskabet ud til de ansvarlige for at få løst problemet, mener Lucas Lundgreen.

»Hvis læger ønsker adgang udefra, kan det gøres med VPN.«

»Vi vil gerne øge kendskabet til problemet. Hvis du arbejder i et hospital, så spørg om de medicinske billeder er eksponeret til internettet,« siger Lucas Lundgreen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Anne-Marie Krogsbøll

"»Vi gør hospitalerne opmærksomme på problemet, men det er ikke altid nemt at finde frem til de ansvarlige for PACS-serverne. Hvis vi får fat i nogen, har de ikke tid eller kompetencer til at gøre noget ved det,« siger Lucas Lundgreen. Det er ofte tredjepartsleverandører, der sætter serverne op, og de bliver ikke altid konfigureret efter sikkerhedsanbefalingerne."

Det er da grove løjer, hvis man ignorerer henvendelser om dette, som jo ligefrem kan være til fare for patienterne.

Hvis ikke problemet er elimineret, som Allan Ebdrup mener, hvad siger GDPR så til det? Er det basis for et bjerg af bøder?

  • 5
  • 3
#4 Jesper Frimann

Det sådan lidt sjove er så, at der på V2's hjemmeside lige nu er en artikel om, hvor kompliceret GDPR er. Det IKKE at "sætte" en server på Internettet med medicinske billeder, hører nok til kategorien for lidt mindre komplicerede GDPR tiltag.

// Jesper

  • 5
  • 0
 
#7 Louise Klint

Jeg synes, det ville være relevant at få præciseret, hvor stort problemet er her, lokalt, i Danmark. For ordens skyld.

Konferencen, Infosecurity, afholdes herhjemme, og artiklen omhandler teknologi, der også anvendes i det danske sundhedsvæsen, med en direkte appel til læseren.

Det kunne blot være en note, der beskriver de lokale forhold. For at eliminere enhver tvivl. For saglighedens skyld, og så man ikke skaber unødig utryghed eller gør den hjemlige sikkerhed desangående til et åbent spørgsmål.

»Vi vil gerne øge kendskabet til problemet. Hvis du arbejder i et hospital, så spørg om de medicinske billeder er eksponeret til internettet,« siger Lucas Lundgreen.

I Danmark er det ikke den enkelte hospitalsansatte medarbejder, der er ansvarlig for at løse problemet. Ærligt talt.

Forvaltes de danske PACS’er via Sundhedsdatanettet (SDN), som Allan Ebdrub fortæller i kommentaren, ligger ansvaret hos MedCom:

https://www.medcom.dk/systemforvaltning

Systemforvaltning dækker hele styrings- og forvaltningsopgaven for IT-løsninger. Herunder beslutningsprocesserne, leverandørsamarbejdet og IT- og informationssikkerheden.

Ellers råder regionerne over relativt store IT-afdelinger, der finansieres af dine og mine skattekroner, de bærer tilsvarende ansvar:

Region H: ”CIMT”: https://www.regionh.dk/om-region-hovedstaden/denAdministrativeRegion/CIM...

Region Sjælland: ”Koncern IT”: https://www.regionsjaelland.dk/omregionen/Organisation/oevrigeafdelinger... https://www.regionsjaelland.dk/omregionen/Organisation/oevrigeafdelinger...

Region Nord: ”Digitalisering og IT” https://rn.dk/om-region-nordjylland/organisation/digitalisering-og-it

Region Midt: ”IT”: https://www.rm.dk/om-os/organisation/organisationsplan/velfard/it/Region...

Region Syd: ”Regional IT”: https://rsyd.dk/wm484161 https://rsyd.dk/default.asp?id=484161&imgid=141119&fullsize=orig

Har et link med liste over leverandører her: https://www.medcom.dk/opslag/koder-tabeller-ydere/koder/rispacs-databaser

Region H og Sjælland bruger AGFA, mig bekendt. De regionale IT-afdelingerne må selv vide, hvilke underleverandører, der servicerer denne del af hospitalsdriften, det er deres ansvar.

Det kunne være fint, at få præciseret problemets omfang i Danmark.

  • 3
  • 0
#10 Markus Lonsdale

DICOM er en meget formalistisk standard, der er enormt omfattende (http:dicom.nema.org). Den kan gemme/sende stort set alle slags medicinske billeder og en masse andre data (f.eks. EKG). Det største problem med DICOM er nok at standarden ud over datamodel osv også beskriver netværkskommunikationen. Og der er sket for meget (f.eks.kender jeg ikke noget system, der understøtter IPv6). Kendskab til IP-adresse, et portnummer og et "navn" (Application Entity Title) er nok til at kunne kommunikere med et minimalt konfigureret DICOM-system . Det er dog klient og server, der skal være konfigureret til at kommunikere med hinanden. Netop dette skalerer ikke og er ret bøvlet hvis man har 100+ (måske endda 1000+) systemer, som skal kommunikere på kryds og tværs. Derfor konfigurerer man servere ofte således at de tillader kommunikation med alle - hvordan skulle man ellers håndtere f.eks. mobile ultralyd-scannere, der er på WiFi på forskellige netværk i forskellige bygninger i forskellige IP-subnet? De fleste server- og netværksfolk har ikke forståelse for en klinisk hverdag og designer netværk ud fra andre præmisser - hvilket også er forståeligt. Heldigvis kan man - på klientbasis - udelukke andre fra at kigge i serverens database. Bestemte klienter kan f.eks. udelukkende aflevere data, men ikke se hvad serveren ellers gemmer.

Alle systemer, jeg kender til, sidder bag en "rigtig" firewall, og de forskellige regioner og privathsopitaler kommunikerer via VPN (sandsynligvis SDN). Så fra internettet er der ingen risiko i DK, i hvert fald ikke noget, der er større end ved alt mulig andet. "Store" systemer (f.eks. PACS-systemerne) er også ordentligt konfigureret, da det er server-folk der drifter dem.

Man også huske at DICOM standarden udtrykkeligt siger, at sikkerhed er et applikationsproblem og ikke dækket af standarden. Men det betyder også ofte, at sikkerhed bliver glemt efter systemet er anskaffet.

http://dicom.nema.org/medical/dicom/current/output/html/part08.html#sect...

DICOM does not specify how a secure transport connection is established, or the significance of any certificates exchanged during peer entity authentication. These issues are left up to the application, which is assumed to be following some security policy. Once the application has established a secure Transport Connection, then an Upper Layer Association can use that secure channel.

De sikkerhedsbrist, jeg kender til, og formentligt også er omtalt i artikelen, skyldes uansvarlig drift af servere, der er eksponeret mod internettet. Det svarer til at lave portforwarding på din router derhjemme og fildeling på din PC for at kunne tilgå dokumenter på farten (altså uden VPN). Ikke noget "professionelle" gør, men en IT-begejstret teenager måske overser, når han skal konfigurere et lille program (prøv f.eks. Horos, http://horosproject.org) i bedsteforældrenes lægeklinik.

  • 1
  • 0
#11 Jan Thomsen

Jeg har tidligere beskæftiget mig indgående med kravspecifikation, projktledelse, drift og administration af PACS og Medical Imaging udstyr, herunder et utal af DICOM opsætninger af såvel PACS som Billeddanende apparater og deres tilhørende special arbejdsstationer og konsoller. DICOM standarden indeholder faktisk nogle optioner til sikker kommunikation men jeg er aldrig stødt på udstyr der understøttede dem. Men jeg er ALDRIG stødt på at nogen hospitaler i Regionerne har udstillet deres PACS udstyrs DICOM interface på internettet. Det er jo ikke det samme som det ikker er sket, men i alle tilfælde jeg kender til er de gemt bag firewalls, og hvis der udveksles PACS data mellem Regionerne via DICOM så er det ALTID sket via dedikerede VPN forbindelser eller sundhedsdatanettet. Den største fare er derfor efter min opfattelse overhovedet ikke internettet, men hospitalernes egne intranet. DICOM standardens sikkerhed kan med en vis ret betegnes som "Security by Obscurity" idet det er en krøllet standard at sætte sig ind i. De PACS installationer jeg har haft med at gøre har dog alle haft en form for "sikkerhed" hvor forsøg på tilgang til data verificeres IP addresse og såkaldt "AE title" for at sikre at det er en kendt enhed og man kan normalt begrænse mulighederne til hvad den givne enhed har adgang til - eksempelvis kun at sende DICOM data, at modtage DICOM data, at søge og hente DICOM data. Men jeg har da også set udstyr som var konfigureret til åben adgang fra intranettet. Og selv med korrekt opsat udstyr så vil en hacker med adgang til at logge netværkstrafik kunne læse IP og AE titles og ganske let spoofe disse m.h.p. at tilgå data. Men i et switchet netværk er det ikke så ligetil at logge netværkstrafikken men for den rette person kan der sikkert findes måder at omgå dette. Man kan i vid omfang komme omkring dette sikerhedsproblem ved at segmentere sit intranet på en måde så alt billedudstyr isoleres på subnets hvor der kun åbnes op til de enheder man ønsker at kommunikere med. M.h.t. PACS systemet så udveksler de jo billeddata via DICOM protokollen, men det er for moderne PACS systemer kun med eksterne enheder (ikke en del af PACS). Internt i PACS har alle de kendte systemer fra de kendte PACS leverandører logning af bruger-henførbar aktivitet, inklusive udveksling af DICOM ind og ud af systemerne, men for disse kun på IP/AE title niveau (idet det formodes at det modtagende system har bruger logning). Og så kan man jo synes at dette er ganske forfærdeligt, og det kunne da også være bedre. Men man skal lige huske på at der faktisk ikke er nogen alternativer. DICOM standarden er lingua franca for udveksling af data mellem billeddannede systemer, men indenfor en PACS system-sfære anvendes der typiske andre protokoller som både er er krypteret og authenticated med fuld bruger-henførbar logning. Det vil efter min opfattelse være utænkeligt at erstatte DICOM protokollen indenfor overskuelig fremtid. Der er bundet astronomiske investeringer i PACS og billeddannende apparater i de danske regioner som skal opgraderes eller udskiftes, og så skal man lige finde en erstatning for DICOM standarden - eller modificere den til en højere grad af sikkerhed - og så skal man også lige få ALLE leverandører til at understøtte den modificerede standard.

  • 1
  • 0
#12 Jan Thomsen

Blot et par yderligere kommentarer. Hvis artiklen citerer Lucas Lundgren korrekt så har han fået blandet en forfærdelig masse ting sammen som giver et voldsomt forkert billede af PACS. Hans kritik af DICOM standarden er på mange måder korrekt, men at konkludere at alle PACS systemer står pivåbent fra internettet, og at der ikke er adganskontrol, authentication og logning af bruger aktivitet indenfor PACS er i alle systemer jeg kender til ukorrekt. Det er uden relevans at der i 1972 var PACS systemer der internt i selve PACS bar baseret på ren DICOM. Disse systemer er så vidt jeg ved for længst gået al kødets gang. Han kan have en pointe om at kommunikationen via DICOM ud og ind af PACS kan være sårbar, men ingen regioner udstiller deres DICOM interface på internettet. Det er på den lange bane nået usammenhængende vås der diskes op med.

  • 0
  • 0
 
#14 Jarle Knudsen

Igen viser det sig at det største issue for sundhedssystem er grundlæggende prioritering af CIA-triad.

Arbejdsbetingelser er at availability altid har den højeste prioritering, efterfulgt af integrity. Confidentiality er godt nok underprioriteret.

Når der ligger en bevistløs, døende patient fortrolighed er det sidste man tænker på.

  • 0
  • 0
Log ind eller Opret konto for at kommentere