Медицинские данные миллионов людей сливаются в сеть из-за ошибки десятилетней давности

Единый стандарт под названием «Цифровая визуализация и коммуникации в медицине» или сокращенно DICOM применяется во всём мире в качестве формата файлов для рентгеновских изображений и компьютерной томографии. Это позволяет медицинским организациям хранить результаты обследований на сервере и обмениваться ими с другими учреждениями. Кроме того, единый стандарт способствует получению данных для обучения ИИ.

Однако, стандарт DICOM, принятый более 10 лет назад, имеет серьёзные недостатки в системе обеспечения безопасности данных. Специалисты компании Aplite отмечают, что медицинские учреждения непреднамеренно публикуют результаты исследований пациентов, их личные данные и истории болезней в открытый доступ.

Специалисты более 6 месяцев сканировали интернет на наличие серверов, раскрывающих личные данные пациентов. В итоге было найдено 3800 серверов, расположенных в 110 странах, которые раскрывают пол, имена, адреса и номера телефонов 16 миллионов пациентов. Также на этих же серверах можно найти результаты 43 миллионов медицинских исследований, включая данные врачей. Большинство серверов расположены в США, Индии и Южной Африке.

Из всех проанализированных серверов, менее 1% используют эффективные меры безопасности.

Про уязвимости стандарта DICOM специалисты говорят уже 3 года. В 2020 году, когда медицинские организации стали массово переходить на единый стандарт, данные миллионов пациентов утекли в свободный доступ. И проблема не утихает уже почти 4 года.

Кроме того, опасность заключается не только в открытом доступе к данным, но и в возможности их изменения, чем могут воспользоваться злоумышленники. Это может сделать результаты исследований бесполезными, либо ввести ложные признаки болезней.

Число раскрытых данных продолжает расти ежедневно, поскольку медицинские учреждения продолжают массово подключаться к стандарту DICOM. При этом организация, курирующая стандарт, не ответила на запрос экспертов.