数十亿张医学图像暴露在互联网,波及美国最大军事医院

[复制链接]

作为一名土生土长的南方人,初次到北方的澡堂子时,云云坦诚相见,雷锋网编辑有点不风俗。

不外,有一种“坦诚相见”的场景你大概更没想到过。你刚进医院拍了一张 CT 。嘿,影像副本大概流到了黑客手里。

每天,数以百万计包含病人个人健康信息的新医学图像都在互联网上流传。

数十亿张医学图像暴露在互联网,波及美国最大军事医院

【 图片泉源:techcrunch所有者:techcrunch 】

医院打开的“门”

倒也不是别人费了九牛二虎之力去偷的,可怕的是,这些医院、医疗办公室和成像中央的“门”并没有关好。它们正在利用不安全的存储系统,只要有互联网毗连,任何人都可以访问凌驾 10 亿张病人的医学图像。

固然,如今约莫一半被暴露于互联网的图像,包罗 x 射线、超声波和 CT 扫描的图片都来自正在和伊朗闹得不可开交的美国,但这并不代表中国的医院能置身事外。

德国安全公司 Greenbone Networks 在 9 月份发现了 2400万份(总计达 7.2 亿多张)医学图像,两个月后,暴露的服务器数量增长了一半以上,到达了 3500 万份,暴露了 11.9 亿份扫描效果。

研究人员拿着数据提醒医院留意这些事儿,没想到完全没有引起它们的器重。暴露的检查效果只会越来越多,医院不着急,这家安全公司有点焦急。

走漏点在于源头——医院、医生办公室和放射中央用来存储病人医疗图像的服务器上有缺点。

DICOM (Digital Imaging and Communications in Medicine,即医学数字成像和通讯)是医学图像和相干信息的国际标准。它界说了质量能满足临床必要的可用于数据互换的医学图像格式,被广泛应用于放射医疗,心血管成像以及放射诊疗诊断装备,是部署最为广泛的医疗信息标准之一。

根据这个标准,医疗从业者更轻易将医学图像存储在一个文件中,并与其他医生分享,而且可以利用任何免费的应用程序查察。 DICOM 的图像通常存储在一个图像存档和通讯系统中,即 PACS 服务器,便于存储和共享。 但是,许多医院直接将 PACS 服务器毗连到互联网上,无需暗码即可查察。

你要说了,这些医院影像头像又看不出实际上是谁,没有暴露隐私。其实不是的,这些未受掩护的服务器不仅暴露医疗成像,而且暴露了病人的个人健康信息。

许多扫描图像不仅有 DICOM 文件的封面,另有病人的姓名、出生日期和有关他们诊断的敏感信息,乃至另有他们的社保 ID。

比如,一个真实案例是,一位患有慢性病的患者在加利福尼亚的一家医院进行了长达 30 年的定期扫描,他的医学图像一经暴露,30 年的健康状态一览无余,而美国最大的军事医院之一一个未受掩护的服务器也暴露了军事人员的名字和医学图像。

即使病人只有一张或几张医学图像,暴露的数据也可以用来推断一个人的健康状态,包罗罹患的疾病和受到的伤害。

这意味着什么,你懂的。

数十亿张医学图像暴露在互联网,波及美国最大军事医院

【 图片泉源:techcrunch 所有者:techcrunch 】

被指望的法律

美意美意的 Greenbone 为了确保服务器的安全,上个月联系了一百多个构造,询问他们服务器的公开情况,一些小构造赶紧自我检查,曝光图像总数有所下降,但是大机构“死猪不怕开水烫”。当这家安全公司联系 10 家最大的医疗机构时,没有得到任何回应,而这些机构“贡献”了约莫五分之一被曝光的医学图像。

Greenbone 私下跟媒体机构透露了这些机构的名字,以便媒体撰文时查验,其中包罗一家在纽约拥有三家医院的医疗机构,一家在佛罗里达州拥有十几家诊所的放射科公司,以及一家位于加州的大型医院。

也就点到为止了。

订定并维护 DICOM 标准的标准机构设定的安全特性在很大程度上被装备制造商忽视,但锅还是得医院背,主要还是由于医院没有适当配置和掩护服务器。

客岁,美国当局对一家总部位于田纳西州的医学成像公司处以 300 万美元的罚款,原因是该公司无意中走漏了一台包含 30 万患者数据的服务器。

中国的网安法也在掣肘医院掩护数据。

雷锋网编辑曾参加过一个数据安全公司主办的论坛,其中一个分论坛专门讨论医疗行业的数据掩护。

某医院计算中央的主任 Q 曾感慨:“我们的影像数据凌驾 500T,终端无纸化越多,阐明医疗数据越多,越多的数据给我们造成的逆境是‘内忧外患’,内忧是各类大牌专家和领导找我要数据,我也不给。省各类的网监来查我们,说我这里不符合要求,那里不符合要求,我们归去就整改,到厥后我们把所有事都干了,把所有的责任都担了,把所有人都冒犯了。由于一旦出事,我就会被网监叫去谈话,做笔录,按指纹,最后抓的人会是我,法律眼前大家平等,院长都保不了我。”

讲真,美国人民也没什么好办法,只能把希望寄托在法律上。美国健康保险携带和责任法案 ( HIPAA )订定了“安全规则” ,其中包罗技术和物理掩护措施,旨在通过确保数据的私密性和安全性来掩护电子个人健康信息,法律还要求医疗服务提供者对与之相干的任何安全毛病负责,触犯法律会受到严肃的处罚。

十条安全提示

除了法律是悬在上头的一把大刀,也许下面十个轻易走漏信息的场景提示可以帮助医院。

第一,开发测试在医院数据利用的过程中是常见的需求,随着医院信息化建立的深入,医院有许多业务更新及业务上线的需求,必要在新业务上线时做测试。

如今测试机构一般直接拿医疗数据库面的真实数据进行测试,假如医院没有测试情况,这些数据乃至会被带回测试人员的公司内部测试。厥后,为了掩护数据安全,一些医院会采取一些脚本的方式,或者是手工的方式来制造一些测试数来进行脱敏,但通过脚本、手工等方式做测试数据有两个题目:

一是大概导致一些数据被漏掉,二是数据脱敏前、脱敏后的关系保持不了,对测试的效果和服从影响很大。

第二个场景是教育培训。

许多的医院非常器重教育培训的工作,一般会创建专门的教育培训平台。这个教育培训平台最重要的资料就是存案的素材,许多医院的医生会基于一些真实病案的分析与讨论,培养本身的临床思维。假如这个平台具有极高的隐私属性的数据(如妇科和精神科的案例)没有经过处理,直接流动到教育培训平台,一旦数据走漏,对患者大概会造成非常大的影响。

平台创建乐成以后,它的用户既有医院内部的医生,另有合作高校的弟子跟老师。校园网的安全性一般比较差,假如从一个比较差的网络情况访问医院的敏感数据,本身就存在风险。

比如,从远端访问医院的人用户是不是盗用的身份,我们无法确定。当数据必要流动到医院的边界之外,安全措施已经失效的情况下,唯一能依赖的就是对身份的连续验证。

第三个场景是运营管理中央,它其实是一个大数据平台,目标是为医院的运营决策做支持。

运营管理中央汇集了医院许多的敏感数据,比如医院的财务数据、运营收益数据,另有医生或是患者的隐私数据,这些数据价值非常高,轻易引起一些不法分子的关注,而且这个平台也会存在数据利用方式的题目,比如通过接口的形式访问,也可以通过消息队列的形式进行数据的订阅、下发乃至是同步,乃至可以通过工具访问,这些方式非常灵活,大概就导致传统的安全机制很难进行全面而有用的防御。

平台本身也大概会存在毛病,一些没有经过处理的大数据流入到运营管理中央就大概存在被走漏的风险。

第四个场景是临床数据中央,也就是 CDR。

CDR 也是一个大数据平台,但它跟数据管理平台不同,CDR 是以临床支持为中央的平台,有病案数据,比如大概会有一些患有恶性肿瘤或是传染病的患者的病历,或是一些社会重要人士、公众人物的病案,这个平台中的数据非常敏感。

它同样也面对数据利用方式灵活的题目,导致传统安全机制很难落地。同时,CDR 也必要为医院所有的医生提供服务,在权限管理上非常复杂。

比如,CDR 里的数据还大概来自兄弟医院,即通过病案互换来的数据,A 医院的医生必要访问患者在 B 医院的数据,这个权限管理就更加复杂。

第五个场景是医院数据会流向的终端,比如医生工作站、护士工作站或是医院常见的大量手持移动终端,数据流动非常快。

在医院就诊时,医生的诊室里有许多人,包罗医生、助理、患者、家属、其他患者及其家属,这么多人挤在同一个空间里,表现在医生终端上的信息就很大概在故意无意的过程中被看到,乃至被照相。

这与医院系统设计的思绪有关,比如核心系统设计以服从为目标,每个操作界面都有患者的隐私数据,包罗个人信息,但提高了患者隐私数据走漏的概率。

上面五个场景是数据在医院内部做流动,可以通过内部如今已有的安全机制、安全措施乃至管理技术的本领来做管控,相对是可控的。但下面这些场景是数据大概会流动到医院的边界之外,完全处于失控的状态,风险更大。

场景六,数据互换。以互换的机构不同分类,分为跟卫生管理机构之间的数据互换,其他医疗机构之间的数据互换。

比如,医院跟医保局之间的数据互换,医院大概必要患者在医保局的医保数据来做付出,医保局又必要医院提供付出相干的患者病历、就诊信息核查,是一个双向、及时的数据互换。

在这个场景里,医院不能对这些数据做类似于如今比较盛行的脱敏处理的数据掩护机制,但是这些未经处理的数据又必要经过一些非安全网络传输到医保局,以是存在一些在传输过程中的风险。

第二种情况是医院的数据要跟其他兄弟医院之间做互换,比如病案互换,主要风险在于互换的过程非常灵活,可以通过共享服务器、中间库,包罗通过接口的形式来互换,互换比较灵活,大概会存在已往安全机制很难进行全面掩护的题目。

互换后,数据处在完全失控的状态,它是不是会被再次互换、二次走漏?没人可以控制。

场景七,数据上报。数据互换是双向的,上报是单向的,上报主要是把数据上报给卫健委、疾病控制中央等卫生监管机构。当患者在医院就诊时,被确诊为一些恶性的传染病之类,必要在第一时间把数据安全相干的要求上传到疾控中央。

一个真实的惨案是,患者在医院就诊后被确诊为非常严重的传染病,不知道在哪个环节发生了数据走漏,导致了他所在的公司知道了他的病情,最终他赋闲了,最后他把疾控跟医院两端都告上了法庭。

以是,医院必要对流出的数据进行追溯,在数据走漏之后就可以追责。

场景八是长途医疗,比如长途会诊,近端医院向远端医院申请专家会诊乐成后,必要上传患者的检查陈诉,包罗一些既往病史等许多个人健康信息,这些信息一般通过非安全网络传输,而且远端医院的安全情况是不可控的,是不是会发生一些非授权用户访问,或者是假冒用户访问,无法控制。

场景九是运维,大部分医院数据库由专门的维保厂商来进行维保和服务,在数据库出故障以后,医院第一时间打电话给服务商。

作为运维服务商,他们首先会实验远端解决,假如解决不了再派工程师到现场。在长途运维的场景中,服务商通过非安全网络访问医院的敏感数据,风险非常大,比如长途毗连工具层毛病导致客户端大概被偷取数据。

运维厂商工程师具有比较大的数据库访问权限,但医院很难控制这些工程师访问过多的数据,或是未经授权的数据。由于权限比较大,他也有能力偷取医院的数据,比如把医生、患者的敏感数据直接下载到数据库,数据大概被售卖和二次走漏。

场景十是增值服务,增值服务是数据共享的需求,医院有许多重要数据,一些药企商保公司希望拿医院的数据做增值应用,比如药企在一些药品上市之后,希望拿到医院临床的患者的病历做药品评价,但是在目前医药行业面对的高监管压力下,不能随便把这些数据共享给他们,一旦共享以后发生了数据走漏,医院作为源头数据提供者,责任是不可躲避的。

雷锋网注:上述 10 条安全提示来自美创公司专家张建林。

参考泉源:A billion medical images are exposed online, as doctors ignore warnings.


来源:https://www.toutiao.com/a6781354831891137035/
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则