image

Data miljoenen patiënten op onbeveiligde servers aangetroffen

dinsdag 17 september 2019, 15:01 door Redactie, 7 reacties

Onderzoekers hebben op honderden onbeveiligde servers die voor iedereen op eenvoudige wijze toegankelijk zijn medische data van miljoenen patiënten aangetroffen, zoals röntgenscans, MRI-scans, namen, geboortedata, behandeldata en in sommige gevallen social security nummers.

De gegevens zijn van patiënten wereldwijd, zo blijkt uit onderzoek van ProPublica en de Duitse omroep Bayerischer Rundfunk. De onderzoekers vonden honderden servers die eenvoudig toegankelijk waren. Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen.

De servers worden door ziekenhuizen en specialisten gebruikt voor de opslag van röntgenfoto's, MRI-scans, mammogrammen en andere afbeeldingen. In veel gevallen zijn ze zonder wachtwoord toegankelijk. Verschillende servers draaiden daarnaast op verouderde besturingssystemen met bekende kwetsbaarheden. "De patiëntgegevens zijn toegankelijk omdat de eenvoudigste it-beveiligingsmaatregelen zoals gebruikersnaam en wachtwoord om toegang te krijgen en encryptie niet zijn genomen", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Het gaat onder andere om picture archiving and communication systems (PACS) servers die de DICOM-standaard gebruiken. Deze standaard uit 1985 beschrijft hoe apparaten die medische afbeeldingen maken met elkaar communiceren en data delen. Wanneer de servers direct toegankelijk vanaf het internet zijn zonder vpn of firewall, of wanneer er geen veilig wachtwoord wordt vereist, kunnen de opgeslagen gegevens worden benaderd.

"Als een samenleving moeten we begrijpen dat de grote digitaliseringsprojecten die ons zoveel voordelen kunnen brengen alleen slagen als ze vanaf het begin veilig worden ontworpen. Alleen als burgers de security van hun data vertrouwen zal digitalisering slagen", zegt Arne Schönbohm, directeur van het BSI. Verschillende van de ziekenhuizen en medische instellingen waar de onbeveiligde servers werden aangetroffen hebben die beveiligd nadat ze door de onderzoekers waren gewaarschuwd.

Reacties (7)
17-09-2019, 15:23 door botbot - Bijgewerkt: 17-09-2019, 15:30
-snip dubbelpost-
17-09-2019, 15:24 door botbot - Bijgewerkt: 17-09-2019, 15:24
Ik snap dat een titel zo veel mogelijk hits moet genereren, maar om er pas in de derde alinea over te lezen dat het over een wereldwijd onderzoek gaat en pas aan het eind van het artikel te kunnen concluderen dan Nederland uberhaupt niet genoemd wordt in het artikel, vind ik wat ver gaan.

Verder zijn de aantallen nogal vreemd weergegeven: "Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen." Je bedoelt 5 miljoen in de VS, 2 in de rest van de wereld en wereldwijd dus nog steeds miljoenen? Of 5 miljoen in de VS en 378 miljoen in de rest van de wereld? En ook nog steeds miljoenen...

Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?

Verder wordt er vrij weinig specifiek gemeld: De MRI scan's zijn zonder wachtwoord toegankelijk? Direct vanaf het internet? Of nadat men in het systeem heeft ingebroken?

Dit artikel had qua inhoud kunnen volstaan met 1 zin: "Er gaat wereldwijd nog steeds veel fout op het gebied van beveiliging".
17-09-2019, 15:54 door Anoniem
Burgers dwingen om verder hun data te digitaliseren en te uploaden,en gebruik te moeten
maken van slimme devices en algoritmes.

Wereldwijd is het nog steeds een puinhoop,
mag ik mijn eigen data beweren,Nee dat mag uw NIET.

Wij beheren dat voor jou,uw mag wel het EPD gebruiken
en alle digitale services van ziekenhuizen,artsen,specialisten en bedrijven,uwv,uitzendbureaus
en gemeentes en overheden.

The Matrix
17-09-2019, 17:36 door Bitwiper
Door botbot: Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Als licht-oranje in het kaartje in https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html betekent dat patiënten in die landen tot de slachtoffers behoren, dan valt Nederland (net als Duitsland) daar ook onder, terwijl donker-oranje lijkt te duiden op de zwaarst getroffen landen.
18-09-2019, 08:40 door botbot - Bijgewerkt: 18-09-2019, 08:40
Door Bitwiper:
Door botbot: Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Als licht-oranje in het kaartje in https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html betekent dat patiënten in die landen tot de slachtoffers behoren, dan valt Nederland (net als Duitsland) daar ook onder, terwijl donker-oranje lijkt te duiden op de zwaarst getroffen landen.

Ok da's al iets meerzeggend inderdaad. En van wat ik van het artikel begrijp is er dus in 2016 ook al onderzocht en melding gemaakt van 2700 systemen die onbeveiligd waren. Alleen zag de branch niet echt reden om te beveiligingen, want de onderzoekers hadden niet gekeken of er ook daadwerkelijk prive data op de de onbeveilige servers stond.

Die "branche" (ik weet niet zo goed of ze leveranciers of de instellingen zelf bedoelen) zouden ze wat mij betreft strafrechtelijk mogen vervolgen. Als je sensitieve informatie beheert, en iemand meld dat je er onveilig mee om gaat en weigert actie te ondernemen, dan is er m.i. sprake van grove nalatigheid.

Op het kaartje lijkt het mij trouwens meer dat de landen in het grijs niet onderzocht zijn, en dat elk land dat PACS apparatuur gebruikt er last van heeft. Klinkt mij in de oren als een nalatige leverancier die wereldwijd zijn spullen onbeveiligd verkoopt. Maar dat is gissen.
18-09-2019, 08:54 door Bitwiper
De feitelijke onderzoeker is het Duitse bedrijf Greenbone Networks, las ik in https://www.bleepingcomputer.com/news/security/400-million-medical-radiological-images-exposed-on-the-internet/. In dat artikel zijn een aantal gedetailleerde plaatjes en tabellen uit het rapport van Greenbone Networks overgenomen.

Het volledige rapport (met o.a. getallen over Nederland en de Nederlandse Antillen) van de onderzoekers vind je in https://www.greenbone.net/wp-content/uploads/CyberResilienceReport_EN.pdf.
18-09-2019, 15:22 door Hyper
Is er ergens te controleren of je slachtoffer bent van deze lek?
Dan kan ik, indien nodig, nieuwe persoonsgegevens aanvragen. *rolleyes*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.