Rapport: Over én milliard billeder med patientinformation ligger blottet på usikre servere

13. januar 2020 kl. 10:2410
Rapport: Over én milliard billeder med patientinformation ligger blottet på usikre servere
Illustration: Dean Drobot/Bigstock.
Røntgenbilleder samt billeder fra CT- og ultralydsscanninger ligger blottet på usikre servere på diverse hospitaler, lægekontorer og centre. Det vurderer det tyske sikkerhedsfirma Greenbone Networks.
person
Jacob Lund Madsen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jacob Lund Madsen
Journalist

Gratis software og en internetforbindelse er det eneste, der skal til for at få adgang til over én milliard billeder fra diverse patienters røntgenbilleder, CT-scanninger og ultralydsskanninger verden over.

Det rapporterer det tyske sikkerhedsselskab Greenbone Networks efter at have overvåget antallet af blottede servere i flere år.

De i alt 1,19 milliarder medicinske billeder fra hele verden hører sammenlagt til 35 millioner patient-undersøgelser, og Greenbone Networks advarer om, at sikkerhedshullet i medicinalbranchen kun bliver større, hvis man ikke opdaterer de usikre serverløsninger.

Greenbone Networks har ifølge eget udsagn advaret flere hospitaler og lægekontorer, men mange har ignoreret advarslerne.

Uploader uden password

Filformatet DICOM anvendes flittigt i medicinalbranchen til at opbevare billeder fra scanninger, men med let tilgængelige og gratis applikationer kan udefrakommende tilgå og se indholdet af billeder i dette format, hvis de ønsker det.

Artiklen fortsætter efter annoncen

Sikkerheden vedrørende disse billeder bliver ikke bedre af, at mange læger ifølge Greenbone Networks anvender såkaldte PACS-servere til at uploade de personfølsomme billeder.

Flere læger og kontorer følger ikke 'best practice' og forbinder i stedet deres PACS-servere til internettet uden et password.

Halvdelen af de 1,19 milliarder potentielt blottede billeder stammer fra amerikanske hospitaler, kontorer og centre.

Sidste år demonstrerede den svenske sikkerhedsekspert Lucas Lundgren, at det på få minutter var muligt at få adgang til tusinder af patienters oplysninger fra et af de største hospitaler i Los Angeles på grund af en usikker server.

Lucas Lundgren er oplægsholder på årets Infosecurity-messe, der løber af stabelen 29. og 30. april i Øksnehallen i København.

Fokus
Emner
10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Anne-Marie Krogsbøll
14. januar 2020 kl. 07:55

https://www.newscientist.com/article/2229828-23andme-has-sold-the-rights-to-develop-a-drug-based-on-its-users-dna/

Ja - brugerne af 23andme har givet tilsagn. Men hvor mange har forstået, at de har givet tilsagn? Mit gæt: De færreste.

Og et spørgsmål: Hvordan kan man udvikle medicin uden at have adgang til de tilhørende sundhedsdata? Leverer folk deres sundhedsdata med, sammen med spytprøven?

Og hvordan kan man kontrollere, at det kun er brugere, der har givet tilsagn, hvis data indgår, og ikke data fra de mange forskningssamarbejder rundt om i verden, som 23andme indgår i?

23andMe - er det ikke dem, bl.a. Ipsych - og mange andre danske forskere og institutioner, bl.a. SSI - samarbejder med? Hvem følger op på, om danske data indgår? I dette projekt udgør danske data kernen:https://www.ncbi.nlm.nih.gov/pubmed/30804558

Hvilke aftaler har man, når man, som i det projekt, deler danske sundhedsdata over hele verden (og via hvilket system - a pro pos artiklen i går om problemerne i Dicom og PACS?) Og overholdes aftalerne? Og hvem kontrollerer, om de overholdes?

  • more_vert
    • insert_linkKopier link
10
Knud Larsen
13. januar 2020 kl. 14:28

Der er krav til drugs og der er krav til diagnoseudstyr. Typisk falder det under Medical Devices. Og der skelnes mellem externt måleudstyr og In Vitro. Men der er krav til det alt sammen og i rigtig mange år var ikke godkendt propietært software som Microsoft's forbudt til sådanne anvendelser. Man kan ikke dokumentere effektiviteten af et sådant udokumenteret system som windows.

  • more_vert
    • insert_linkKopier link
9
Kim Henriksen
13. januar 2020 kl. 13:51

Filformatet DICOM anvendes flittigt i medicinalbranchen til at opbevare billeder fra scanninger, men med let tilgængelige og gratis applikationer kan udefrakommende tilgå og se indholdet af billeder i dette format, hvis de ønsker det.

DICOM er mere end bare et filformat, det er en hel standard for hvordan man arbejder med medicinske billeder, herunder hvordan de overføres - men ligesom så mange andre ting, så var sikkerhed ikke noget man fokuserede på, den gang standarden blev udviklet (typisk nok af teknologi interesserede sundhedsfaglige personer)

Der findes en erstatning for DICOM som hedder WADO, som flytter transport af DICOM objekter over på HTTP, således at det er lidt mere "kendt" teknologi for almindelig IT-folk.

Men jeg har godt nok set nogle groteske ting, i den tid jeg har arbejdet med sundheds IT.

  • more_vert
    • insert_linkKopier link
7
Jens Beltofte
13. januar 2020 kl. 12:59

Dog gælder GDPR vel også for scanninger, der jo kan udgøre yderst følsomme persondata.

Det gør de helt sikkert - både under GDPR og HIPAA (USA).

Fra artiklen på TechCrunch:

Medical records and personal health data are highly protected under U.S. law. The Health Insurance Portability and Accountability Act (HIPAA) created the “security rule,” which included technical and physical safeguards designed to protect electronic personal health information by ensuring the data is kept private and secure. The law also holds healthcare providers accountable for any security lapses. Running afoul of the law can lead to severe penalties.

  • more_vert
    • insert_linkKopier link
6
Mogens Lysemose
13. januar 2020 kl. 12:56

Lægebranchen? Burde vi ikke kalde det sundhedsbranchen

Jo det har du nok ret i. At jeg kaldte det lægebranchen skyldes at alle kan kalde sig alternativ behandler og så har fuldstændigt frie tøjler til at behandle patienter så længe de ikke udsætter folk for alvorlig fare eller udfører egentlig lægegerning (eller lign. der er "beskyttet" af autorisationsloven). Men det understreger jo blot min pointe - at sundhedsbranchen (i modsætning til medicinalindustrien) er meget svagt reguleret.

Dog gælder GDPR vel også for scanninger, der jo kan udgøre yderst følsomme persondata.

  • more_vert
    • insert_linkKopier link
5
Jens Beltofte
13. januar 2020 kl. 12:32

V2 hvorfor mener i at skanninger er medicin?</p>
<p>Dette problem skyldes netop set mens der er skrappe krav til medicinalbranchen så er der enormt slappe krav til lægebranchen.

Lægebranchen? Burde vi ikke kalde det sundhedsbranchen eller lignende.

Når man læser artiklen på TechCrunch virker det til at de skyldige her er store scanningsklinikker med mange filialer, dvs. at den dårlige sikkerhed intet direkte har med læger at gøre, men dårlige beslutninger hos den administrative ledelse (CEO, CIO, COO whatever).

  • more_vert
    • insert_linkKopier link
3
Mogens Lysemose
13. januar 2020 kl. 11:28

V2 hvorfor mener i at skanninger er medicin?

Dette problem skyldes netop set mens der er skrappe krav til medicinalbranchen så er der enormt slappe krav til lægebranchen.

  • more_vert
    • insert_linkKopier link
1
Anne-Marie Krogsbøll
13. januar 2020 kl. 10:34

Medicinalbranchen? Er det fra medicinalbranchen eller fra diverse sygehusvæsner? Ganske vist er det snart svært at skelne de to fra hinanden - men lidt forskel er der vel forhåbentlig stadig?

PACS bruges - så vidt jeg ved - også herhjemme.

I øvrigt kan man jo ikke påstå at blive overrasket - men forarget og vred kan man stadig blive...

  • more_vert
    • insert_linkKopier link