Zdroj: ProPublica
Ak náš blog sledujete už dlhšie tak viete, že na internete sa dajú nájsť rôzne veci. Informovali sme vás napr. o zraniteľných zariadeniach používaných na čerpacích staniciach. V minulosti to boli priemyselné chladničky používané v nemocniciach a obchodoch, alebo aj Tesla PowerPack systémy. ProPublica si posvietila na nezabezpečené servery s citlivými medicínskymi dátami.
Citlivé údaje prístupné bez hesla
Pri svojom výskume v spolupráci s nemeckou stanicou Bayerischer Rundfunk zistili, že citlivé medicínske dáta viac ako 5 miliónov Američanov a milióna pacientov vo zvyšku sveta sú prístupné bez hesla. Išlo o röntgenové snímky, MRI a CT skeny. Spoločne našli napr. 400.000 voľne prístupných röntgenových snímkov.
Celkovo identifikovali 187 serverov, ktoré slúžili na uchovávanie medicínskych údajov a neboli zabezpečené heslom. V týchto prípadoch sa ani nedá hovoriť o hackingu. Na prístup k údajom niekedy stačil obyčajný prehliadač webu a IP adresa.
Mobilex USA ako príklad
Jedným z príkladov bola firma Mobilex USA, ktorá ponechala na internete údaje o milióne pacientov, ich dátumy narodenia, mená doktorov a vykonané procedúry. Firma poskytuje vykonávanie röntgenových snímok v teréne. Svoje služby poskytuje hospicom, väzeniam, domovom dôchodcov a rehabilitačným nemocniciam. Po upozornení firma svoj server zabezpečila.
HIPAA
V USA existuje od roku 1996 zákon HIPAA (Health Insurance Portability and Accountability Act), ktorý upravuje okrem iného ako chrániť údaje pacientov. Únik týchto citlivých údajov môže ohroziť pacientov. Môžu sa napr. stať cieľom vydierania, alebo sa môžu dostať do nepríjemnej situácie ak sa zverejní ich zdravotný stav.
Keď digitál vystriedal analóg
Problémy tohto druhu začali, keď začal prechod od analógových technológii k digitálnym. Snímky a skeny sa dajú v digitálnej podobe rýchlo kopírovať a zdieľať. To je síce pozitívne, ale ak nie je celý proces správne zabezpečený, dochádza k únikom citlivých informácií.
Systémy PACS (picture archiving and communication systems), ktoré slúžia v nemocniciach na prácu so snímkami a skenmi by nemali byť pripojené priamo do internetu. Prístup k službám by mal byť na základe hesla a len pre oprávnené osoby. Prístup servisnej firmy k systému by mal byť cez VPN a mal by byť sledovaný. Odporúčame vyžadovať dvojfaktorovú autentifikáciu pre VPN pripojenie.
Obrázok: „x-ray“ by Katie Allen, used under CC BY 2.0
