Data miljoenen patiënten op onbeveiligde servers aangetroffen
Onderzoekers hebben op honderden onbeveiligde servers die voor iedereen op eenvoudige wijze toegankelijk zijn medische data van miljoenen patiënten aangetroffen, zoals röntgenscans, MRI-scans, namen, geboortedata, behandeldata en in sommige gevallen social security nummers.
De gegevens zijn van patiënten wereldwijd, zo blijkt uit onderzoek van ProPublica en de Duitse omroep Bayerischer Rundfunk. De onderzoekers vonden honderden servers die eenvoudig toegankelijk waren. Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen.
De servers worden door ziekenhuizen en specialisten gebruikt voor de opslag van röntgenfoto's, MRI-scans, mammogrammen en andere afbeeldingen. In veel gevallen zijn ze zonder wachtwoord toegankelijk. Verschillende servers draaiden daarnaast op verouderde besturingssystemen met bekende kwetsbaarheden. "De patiëntgegevens zijn toegankelijk omdat de eenvoudigste it-beveiligingsmaatregelen zoals gebruikersnaam en wachtwoord om toegang te krijgen en encryptie niet zijn genomen", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Het gaat onder andere om picture archiving and communication systems (PACS) servers die de DICOM-standaard gebruiken. Deze standaard uit 1985 beschrijft hoe apparaten die medische afbeeldingen maken met elkaar communiceren en data delen. Wanneer de servers direct toegankelijk vanaf het internet zijn zonder vpn of firewall, of wanneer er geen veilig wachtwoord wordt vereist, kunnen de opgeslagen gegevens worden benaderd.
"Als een samenleving moeten we begrijpen dat de grote digitaliseringsprojecten die ons zoveel voordelen kunnen brengen alleen slagen als ze vanaf het begin veilig worden ontworpen. Alleen als burgers de security van hun data vertrouwen zal digitalisering slagen", zegt Arne Schönbohm, directeur van het BSI. Verschillende van de ziekenhuizen en medische instellingen waar de onbeveiligde servers werden aangetroffen hebben die beveiligd nadat ze door de onderzoekers waren gewaarschuwd.
Verder zijn de aantallen nogal vreemd weergegeven: "Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen." Je bedoelt 5 miljoen in de VS, 2 in de rest van de wereld en wereldwijd dus nog steeds miljoenen? Of 5 miljoen in de VS en 378 miljoen in de rest van de wereld? En ook nog steeds miljoenen...
Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Verder wordt er vrij weinig specifiek gemeld: De MRI scan's zijn zonder wachtwoord toegankelijk? Direct vanaf het internet? Of nadat men in het systeem heeft ingebroken?
Dit artikel had qua inhoud kunnen volstaan met 1 zin: "Er gaat wereldwijd nog steeds veel fout op het gebied van beveiliging".
maken van slimme devices en algoritmes.
Wereldwijd is het nog steeds een puinhoop,
mag ik mijn eigen data beweren,Nee dat mag uw NIET.
Wij beheren dat voor jou,uw mag wel het EPD gebruiken
en alle digitale services van ziekenhuizen,artsen,specialisten en bedrijven,uwv,uitzendbureaus
en gemeentes en overheden.
The Matrix
Ok da's al iets meerzeggend inderdaad. En van wat ik van het artikel begrijp is er dus in 2016 ook al onderzocht en melding gemaakt van 2700 systemen die onbeveiligd waren. Alleen zag de branch niet echt reden om te beveiligingen, want de onderzoekers hadden niet gekeken of er ook daadwerkelijk prive data op de de onbeveilige servers stond.
Die "branche" (ik weet niet zo goed of ze leveranciers of de instellingen zelf bedoelen) zouden ze wat mij betreft strafrechtelijk mogen vervolgen. Als je sensitieve informatie beheert, en iemand meld dat je er onveilig mee om gaat en weigert actie te ondernemen, dan is er m.i. sprake van grove nalatigheid.
Op het kaartje lijkt het mij trouwens meer dat de landen in het grijs niet onderzocht zijn, en dat elk land dat PACS apparatuur gebruikt er last van heeft. Klinkt mij in de oren als een nalatige leverancier die wereldwijd zijn spullen onbeveiligd verkoopt. Maar dat is gissen.
Het volledige rapport (met o.a. getallen over Nederland en de Nederlandse Antillen) van de onderzoekers vind je in https://www.greenbone.net/wp-content/uploads/CyberResilienceReport_EN.pdf.
Dan kan ik, indien nodig, nieuwe persoonsgegevens aanvragen. *rolleyes*
Deze posting is gelocked. Reageren is niet meer mogelijk.
Consultant Assets & Security
Wij zoeken een gemotiveerde en kundige collega die samen met ons onder andere zorg draagt voor het ontwikkelen en beheren van onze assets en in het bijzonder de informatiebeveiliging van deze assets. Iets voor jou? Meer weten of direct solliciteren!
FULLTIME EN PARTTIME DOCENTEN CYBER SECURITY
Hogeschool van Amsterdam
Wil jij ICT-studenten wegwijs maken in de snel veranderende wereld van IT-beveiliging? De Hogeschool van Amsterdam (HvA) is voor de opleiding HBO-ICT op zoek naar meerdere enthousiaste docenten Cyber Security.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.