Более 45 миллионов медицинских изображений обнаружены в публичном доступе из-за утечки данных
15 декабря 2020 года аналитики в области информационной безопасности CybelAngel обнаружили в открытом доступе на незащищённых серверах более 45 миллионов файлов c медицинскими изображениями, включая рентгенологические исследования различных частей тела и органов и исследования в области компьютерной томографии и МРТ.
Также компания опубликовала полномасштабный отчёт, который является результатом шестимесячного исследования сетевых хранилищ (NAS) и цифровых медицинских исследований в формате DICOM.В CybelAngel обнаружили, что миллионы конфиденциальных изображений, включая личную медицинскую информацию были доступны в незашифрованном виде и без защиты паролем.
В результате исследования было отсканировано около 4,3 миллиардов IP-адресов и обнаружили более 45 миллионов уникальных медицинских изображений на более чем 2140 незащищенных серверах в 67 странах Мира, включая США, Великобританию, Францию и Германию. Россия занимает 3 строчку по количество утекших уникальных файлов.
Помимо самих данных исследований (МРТ, КТ, рентген) утекли и личные данные, такие как:
- Имя;
- Дата рождения;
- Адрес проживания;
- Рост;
- Вес;
- Диагноз.
Тот факт, что мы не использовали никаких хакерских инструментов на протяжении всего нашего исследования, подчеркивает легкость, с которой мы смогли обнаружить и получить доступ к этим файлам.
Дэвид Сигула, старший аналитик по кибербезопасности CybelAngel и автор доклада
С точки зрения законодательства, поставщики медицинских услуг и разработчики ИТ сервисов (в том числе на базе искусственного интеллекта), несут ответственность за нарушение конфиденциальной информации о пациентах в соответствии с такими документами, как GDPR в Европе или HIPAA в США.
CybelAngel в своем отчёте рекомендуют соблюдать ряд простых правил, которые медицинские учреждения могут предпринять для защиты данных:
- Определить, превышает ли ответ на вызовы пандемии риски безопасности: возможно стоит использовать специальные устройства NAS, приложения для обмена файлами для обеспечения контроля безопасности и доступа.
- Обеспечить надлежащую сегментацию сети подключенного медицинского визуализирующего оборудования.
- Провести реальный аудит ИТ- партнеров и вендоров с точки зрения ИБ.