Rapport: Over én milliard billeder med patientinformation ligger blottet på usikre servere

Røntgenbilleder samt billeder fra CT- og ultralydsscanninger ligger blottet på usikre servere på diverse hospitaler, lægekontorer og centre. Det vurderer det tyske sikkerhedsfirma Greenbone Networks.

Gratis software og en internetforbindelse er det eneste, der skal til for at få adgang til over én milliard billeder fra diverse patienters røntgenbilleder, CT-scanninger og ultralydsskanninger verden over.

Det rapporterer det tyske sikkerhedsselskab Greenbone Networks efter at have overvåget antallet af blottede servere i flere år.

De i alt 1,19 milliarder medicinske billeder fra hele verden hører sammenlagt til 35 millioner patient-undersøgelser, og Greenbone Networks advarer om, at sikkerhedshullet i medicinalbranchen kun bliver større, hvis man ikke opdaterer de usikre serverløsninger.

Greenbone Networks har ifølge eget udsagn advaret flere hospitaler og lægekontorer, men mange har ignoreret advarslerne.

Læs også: 1.490 uberettigede eller mistænkelige opslag i regionale patientjournaler på fire år

Uploader uden password

Filformatet DICOM anvendes flittigt i medicinalbranchen til at opbevare billeder fra scanninger, men med let tilgængelige og gratis applikationer kan udefrakommende tilgå og se indholdet af billeder i dette format, hvis de ønsker det.

Sikkerheden vedrørende disse billeder bliver ikke bedre af, at mange læger ifølge Greenbone Networks anvender såkaldte PACS-servere til at uploade de personfølsomme billeder.

Flere læger og kontorer følger ikke 'best practice' og forbinder i stedet deres PACS-servere til internettet uden et password.

Læs også: Phishing-angreb i USA: Persondata og sundhedsdata fra 68.000 patienter kan være lækket

Halvdelen af de 1,19 milliarder potentielt blottede billeder stammer fra amerikanske hospitaler, kontorer og centre.

Sidste år demonstrerede den svenske sikkerhedsekspert Lucas Lundgren, at det på få minutter var muligt at få adgang til tusinder af patienters oplysninger fra et af de største hospitaler i Los Angeles på grund af en usikker server.

Lucas Lundgren er oplægsholder på årets Infosecurity-messe, der løber af stabelen 29. og 30. april i Øksnehallen i København.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

Medicinalbranchen? Er det fra medicinalbranchen eller fra diverse sygehusvæsner? Ganske vist er det snart svært at skelne de to fra hinanden - men lidt forskel er der vel forhåbentlig stadig?

PACS bruges - så vidt jeg ved - også herhjemme.

I øvrigt kan man jo ikke påstå at blive overrasket - men forarget og vred kan man stadig blive...

  • 6
  • 2
#4 Jens Beltofte

V2 hvorfor mener i at skanninger er medicin?

Dette problem skyldes netop set mens der er skrappe krav til medicinalbranchen så er der enormt slappe krav til lægebranchen.

Lægebranchen? Burde vi ikke kalde det sundhedsbranchen eller lignende.

Når man læser artiklen på TechCrunch virker det til at de skyldige her er store scanningsklinikker med mange filialer, dvs. at den dårlige sikkerhed intet direkte har med læger at gøre, men dårlige beslutninger hos den administrative ledelse (CEO, CIO, COO whatever).

  • 4
  • 0
#5 Mogens Lysemose

Lægebranchen? Burde vi ikke kalde det sundhedsbranchen

Jo det har du nok ret i. At jeg kaldte det lægebranchen skyldes at alle kan kalde sig alternativ behandler og så har fuldstændigt frie tøjler til at behandle patienter så længe de ikke udsætter folk for alvorlig fare eller udfører egentlig lægegerning (eller lign. der er "beskyttet" af autorisationsloven). Men det understreger jo blot min pointe - at sundhedsbranchen (i modsætning til medicinalindustrien) er meget svagt reguleret.

Dog gælder GDPR vel også for scanninger, der jo kan udgøre yderst følsomme persondata.

  • 0
  • 0
#6 Jens Beltofte

Dog gælder GDPR vel også for scanninger, der jo kan udgøre yderst følsomme persondata.

Det gør de helt sikkert - både under GDPR og HIPAA (USA).

Fra artiklen på TechCrunch:

Medical records and personal health data are highly protected under U.S. law. The Health Insurance Portability and Accountability Act (HIPAA) created the “security rule,” which included technical and physical safeguards designed to protect electronic personal health information by ensuring the data is kept private and secure. The law also holds healthcare providers accountable for any security lapses. Running afoul of the law can lead to severe penalties.

  • 1
  • 0
#8 Kim Henriksen

Filformatet DICOM anvendes flittigt i medicinalbranchen til at opbevare billeder fra scanninger, men med let tilgængelige og gratis applikationer kan udefrakommende tilgå og se indholdet af billeder i dette format, hvis de ønsker det.

DICOM er mere end bare et filformat, det er en hel standard for hvordan man arbejder med medicinske billeder, herunder hvordan de overføres - men ligesom så mange andre ting, så var sikkerhed ikke noget man fokuserede på, den gang standarden blev udviklet (typisk nok af teknologi interesserede sundhedsfaglige personer)

Der findes en erstatning for DICOM som hedder WADO, som flytter transport af DICOM objekter over på HTTP, således at det er lidt mere "kendt" teknologi for almindelig IT-folk.

Men jeg har godt nok set nogle groteske ting, i den tid jeg har arbejdet med sundheds IT.

  • 7
  • 0
#9 Knud Larsen

Der er krav til drugs og der er krav til diagnoseudstyr. Typisk falder det under Medical Devices. Og der skelnes mellem externt måleudstyr og In Vitro. Men der er krav til det alt sammen og i rigtig mange år var ikke godkendt propietært software som Microsoft's forbudt til sådanne anvendelser. Man kan ikke dokumentere effektiviteten af et sådant udokumenteret system som windows.

  • 1
  • 4
#10 Anne-Marie Krogsbøll

https://www.newscientist.com/article/2229828-23andme-has-sold-the-rights...

Ja - brugerne af 23andme har givet tilsagn. Men hvor mange har forstået, at de har givet tilsagn? Mit gæt: De færreste.

Og et spørgsmål: Hvordan kan man udvikle medicin uden at have adgang til de tilhørende sundhedsdata? Leverer folk deres sundhedsdata med, sammen med spytprøven?

Og hvordan kan man kontrollere, at det kun er brugere, der har givet tilsagn, hvis data indgår, og ikke data fra de mange forskningssamarbejder rundt om i verden, som 23andme indgår i?

23andMe - er det ikke dem, bl.a. Ipsych - og mange andre danske forskere og institutioner, bl.a. SSI - samarbejder med? Hvem følger op på, om danske data indgår? I dette projekt udgør danske data kernen: https://www.ncbi.nlm.nih.gov/pubmed/30804558

Hvilke aftaler har man, når man, som i det projekt, deler danske sundhedsdata over hele verden (og via hvilket system - a pro pos artiklen i går om problemerne i Dicom og PACS?) Og overholdes aftalerne? Og hvem kontrollerer, om de overholdes?

  • 4
  • 0
Log ind eller Opret konto for at kommentere