Data miljoenen patiënten op onbeveiligde servers aangetroffen
Onderzoekers hebben op honderden onbeveiligde servers die voor iedereen op eenvoudige wijze toegankelijk zijn medische data van miljoenen patiënten aangetroffen, zoals röntgenscans, MRI-scans, namen, geboortedata, behandeldata en in sommige gevallen social security nummers.
De gegevens zijn van patiënten wereldwijd, zo blijkt uit onderzoek van ProPublica en de Duitse omroep Bayerischer Rundfunk. De onderzoekers vonden honderden servers die eenvoudig toegankelijk waren. Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen.
De servers worden door ziekenhuizen en specialisten gebruikt voor de opslag van röntgenfoto's, MRI-scans, mammogrammen en andere afbeeldingen. In veel gevallen zijn ze zonder wachtwoord toegankelijk. Verschillende servers draaiden daarnaast op verouderde besturingssystemen met bekende kwetsbaarheden. "De patiëntgegevens zijn toegankelijk omdat de eenvoudigste it-beveiligingsmaatregelen zoals gebruikersnaam en wachtwoord om toegang te krijgen en encryptie niet zijn genomen", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Het gaat onder andere om picture archiving and communication systems (PACS) servers die de DICOM-standaard gebruiken. Deze standaard uit 1985 beschrijft hoe apparaten die medische afbeeldingen maken met elkaar communiceren en data delen. Wanneer de servers direct toegankelijk vanaf het internet zijn zonder vpn of firewall, of wanneer er geen veilig wachtwoord wordt vereist, kunnen de opgeslagen gegevens worden benaderd.
"Als een samenleving moeten we begrijpen dat de grote digitaliseringsprojecten die ons zoveel voordelen kunnen brengen alleen slagen als ze vanaf het begin veilig worden ontworpen. Alleen als burgers de security van hun data vertrouwen zal digitalisering slagen", zegt Arne Schönbohm, directeur van het BSI. Verschillende van de ziekenhuizen en medische instellingen waar de onbeveiligde servers werden aangetroffen hebben die beveiligd nadat ze door de onderzoekers waren gewaarschuwd.
Verder zijn de aantallen nogal vreemd weergegeven: "Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen." Je bedoelt 5 miljoen in de VS, 2 in de rest van de wereld en wereldwijd dus nog steeds miljoenen? Of 5 miljoen in de VS en 378 miljoen in de rest van de wereld? En ook nog steeds miljoenen...
Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Verder wordt er vrij weinig specifiek gemeld: De MRI scan's zijn zonder wachtwoord toegankelijk? Direct vanaf het internet? Of nadat men in het systeem heeft ingebroken?
Dit artikel had qua inhoud kunnen volstaan met 1 zin: "Er gaat wereldwijd nog steeds veel fout op het gebied van beveiliging".
maken van slimme devices en algoritmes.
Wereldwijd is het nog steeds een puinhoop,
mag ik mijn eigen data beweren,Nee dat mag uw NIET.
Wij beheren dat voor jou,uw mag wel het EPD gebruiken
en alle digitale services van ziekenhuizen,artsen,specialisten en bedrijven,uwv,uitzendbureaus
en gemeentes en overheden.
The Matrix
Ok da's al iets meerzeggend inderdaad. En van wat ik van het artikel begrijp is er dus in 2016 ook al onderzocht en melding gemaakt van 2700 systemen die onbeveiligd waren. Alleen zag de branch niet echt reden om te beveiligingen, want de onderzoekers hadden niet gekeken of er ook daadwerkelijk prive data op de de onbeveilige servers stond.
Die "branche" (ik weet niet zo goed of ze leveranciers of de instellingen zelf bedoelen) zouden ze wat mij betreft strafrechtelijk mogen vervolgen. Als je sensitieve informatie beheert, en iemand meld dat je er onveilig mee om gaat en weigert actie te ondernemen, dan is er m.i. sprake van grove nalatigheid.
Op het kaartje lijkt het mij trouwens meer dat de landen in het grijs niet onderzocht zijn, en dat elk land dat PACS apparatuur gebruikt er last van heeft. Klinkt mij in de oren als een nalatige leverancier die wereldwijd zijn spullen onbeveiligd verkoopt. Maar dat is gissen.
Het volledige rapport (met o.a. getallen over Nederland en de Nederlandse Antillen) van de onderzoekers vind je in https://www.greenbone.net/wp-content/uploads/CyberResilienceReport_EN.pdf.
Dan kan ik, indien nodig, nieuwe persoonsgegevens aanvragen. *rolleyes*
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity trainen op een Cyber Range: zo doet KPN dat
Een Cyber Range is een gecontroleerde omgeving waar gebruikers cyberaanvallen leren detecteren en afzwakken. Zo vergroten bedrijven technische kennis rondom cyber-response. KPN helpt organisaties hierbij met een keur aan specialisten. Met uiteenlopende projecten als pentesten van drones die Epi-Pennen en pizza’s bezorgen tot het inbreken bij zwaarbeveiligde gebouwen, is geen dag hetzelfde.
Senior Adviseur
Economische Veiligheid
Nationaal Cyber Security Centrum
Door het snelgroeiende en veranderende cybersecuritydomein groeit ook de dreiging op onze economische veiligheid. Het is mede aan jou om ervoor te zorgen dat op tactisch en strategisch niveau de juiste kennis en samenwerkingsverbanden aanwezig zijn, zodat we gezamenlijk juist en tijdig op deze dreigingen kunnen anticiperen.
Tactisch specialist informatieveiligheid
Wist jij dat het één van onze ambities is om datagedreven werken in al onze processen de standaard te maken? Om onze ambities kracht bij te zetten zijn wij op zoek naar een verbindende tactisch specialist informatie-veiligheid die ons helpt met de bruikbaarheid en veiligheid van onze informatiesystemen. Klinkt dat als iets voor jou?
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?