Hệ thống y tế không được bảo vệ để lộ dữ liệu trên hàng triệu bệnh nhân

Hệ thống y tế không được bảo vệ để lộ dữ liệu trên hàng triệu bệnh nhân

January 17, 2020 | hieulx

Hàng trăm hệ thống hình ảnh y tế không được bảo vệ, có thể truy cập qua Internet đã phơi bày dữ liệu về hàng triệu bệnh nhân trên toàn thế giới, công ty bảo mật Greenbone của Đức tiết lộ.

Phân tích được thực hiện bởi Greenbone, nhà cung cấp giải pháp quản lý và phân tích lỗ hổng, tập trung vào Picture Archiving and Communication Systems (PACS), được các tổ chức chăm sóc sức khỏe sử dụng để chụp, lưu trữ và phân phối hình ảnh y tế.

Nghiên cứu của công ty nhằm mục đích làm sáng tỏ dữ liệu bệnh nhân được bảo vệ tốt như thế nào trong các tổ chức chăm sóc sức khỏe và kết quả không đáng khích lệ: gần một phần tư các máy chủ PACS được phân tích tiếp xúc với dữ liệu Internet.

Cụ thể, trong số 2.300 hệ thống được phân tích từ tháng 7 đến tháng 9 năm 2019, có thể truy cập 590 từ Internet và không có sự bảo vệ nào đối với dữ liệu cá nhân hoặc y tế được lưu trữ trên chúng. Dữ liệu này bao gồm tên bệnh nhân và ngày sinh, ngày khám, một số chi tiết về lý do khám và thậm chí dữ liệu hình ảnh cho những bệnh nhân đó.

Nhìn chung, 590 hệ thống tiếp xúc chứa hơn 24,5 triệu hồ sơ dữ liệu từ bệnh nhân trên 52 quốc gia, bao gồm 737 triệu hình ảnh (từ các thiết bị X-quang, CT, MRI), với 400 triệu hình ảnh này có thể dễ dàng tải xuống qua Internet.

Vào tháng 11 năm 2019, công ty bảo mật đã xem xét lại nghiên cứu, và phát hiện ra rằng lượng dữ liệu bị lộ đã tăng lên. Mặc dù 129 hệ thống lưu trữ mới đã được tìm thấy và 172 hệ thống ngoại tuyến, tổng cộng 35 triệu hồ sơ dữ liệu có thể truy cập công khai. Hơn nữa, số lượng hình ảnh lộ đã tăng từ 737 triệu lên 1,19 tỷ (1.193.404.000).

Trong một báo cáo cập nhật (PDF), Greenbone tiết lộ rằng số lượng hồ sơ bệnh nhân có thể truy cập hình ảnh đã tăng gấp đôi từ 4,4 triệu lên 9 triệu trong khoảng từ tháng 9 đến tháng 11. Số lượng hình ảnh có thể dễ dàng tải xuống qua Internet đã giảm từ 400 triệu xuống còn 370 triệu.

Một cuộc phân tích lại được thực hiện vào đầu tháng 1 đã cho thấy số lượng PACS bị phơi nhiễm giảm nhẹ, mặc dù hàng chục triệu nghiên cứu y khoa vẫn tiếp xúc với Internet. Vào đầu năm 2020, hơn 460 hệ thống tiếp xúc trước đó vẫn được kết nối với Internet, cho phép truy cập không kiểm soát, không được bảo vệ vào thông tin bệnh nhân, ông Dirk Schrader, chiến lược gia về khả năng phục hồi không gian mạng tại Greenbone cho biết.

Xét về các quốc gia bị ảnh hưởng nhất, Hoa Kỳ chiếm vị trí hàng đầu. Greenbone đã thông báo cho hơn 140 tổ chức của Hoa Kỳ rằng họ tiết lộ dữ liệu bệnh nhân, nhưng báo cáo tháng 11 năm 2019 của họ cho biết có hơn 800 tổ chức bị ảnh hưởng, bao gồm các phòng khám, bệnh viện và nhà cung cấp dịch vụ X quang.

Thổ Nhĩ Kỳ, Nam Phi, Ecuador, Ấn Độ và Brazil cũng bị ảnh hưởng nặng nề.

Vấn đề, Greenbone nói, có thể được giảm thiểu thông qua nhận thức về bảo mật: các tổ chức nên tăng khả năng hiển thị vào tài sản của họ và kiểm tra xem họ có tiếp xúc với Internet hay không; các bác sĩ nên xác minh rằng thông tin y tế truyền dưới dạng điện tử được mã hóa và bệnh nhân nên hỏi bác sĩ về chế độ bảo vệ dữ liệu của họ.

Nguồn: Unprotected Medical Systems Expose Data on Millions of Patients

Tags: , ,