Iscureli radiološki snimci pacijenata iz Srbije!

Procenjuje se da je na dark webu ukupna vrednost iscurelih podataka iz 52 države veća od milijardu dolara!

Iscureli radiološki snimci pacijenata iz Srbije!

Više od 737 miliona radioloških snimaka pronađeno je na otvorenim PACS serverima, 400 miliona je dostupno na internetu, a više od 15 miliona potiče iz Srbije!

Istraživači iz Greenbone Networks otkrili su ukupno 600 nezaštićenih servera dostupnih na internetu koji sadrže radiološke snimke. Istraživanje je sprovedeno od sredine jula do septembra 2019. Snimci su otkriveni u 52 zemlje, a u pogođenim sistemima pronađeno je čak 10.000 ranjivosti, od toga 500 kritičnih, odnosno ranjivosti najvišeg nivoa ozbiljnosti (CVSS rezultat 10/10). Analizirano je oko 2.300 otvorenih PACS sistema.

Na slici ispod možete videti rezultate istraživanja prema kojima je Srbija na 4. mestu među 52 zemlje prema broju radioloških snimaka kojima je moguće pristupiti, odnosno preuzeti sa interneta. Radi se o cifri od 15.242.000 snimaka. Pored toga, dostupni su podaci o 30.484 pacijenta iz Srbije.

Rezultati prema broju dostupnih snimaka

Slika 1. Rezultati sortirani prema broju dostupnih snimaka. Izvor slike: Greenbone.

PACS je sistem za arhiviranje slika i komunikaciju. U medicini se koristi za arhiviranje radioloških snimaka koji su po potrebi dostupni medicinskim radnicima za analize i postavljanje dijagnoza. PACS koristi DICOM standard (digitalni snimci i komunikacija u medicini) za obradu podataka.

Od 2.300 analiziranih PACS sistema, 590 je dostupno putem interneta i sadrži medicinske kartone o 24,3 miliona pacijenata iz 52 države. Ukupno se radi o cifri od 737 miliona radioloških snimaka, od čega je 400 miliona moguće videti i preuzeti sa interneta. Pored toga, podaci o pacijentima u 39 sistema su dostupni bez zaštite usled koriščenja nebezbednog, HTTP protokola.

Većina dostupnih kartona pacijenata sadrži sledeće lične i medicinske informacije:

  • Ime i prezime

  • Datum rođenja

  • Datum snimanja

  • Vrsta medicinske pretrage

  • Vrsta procedure obrade snimaka

  • Podaci o doktoru radiologu

  • Institut/klinika

  • Broj generisanih snimaka

U istraživanju je korišćen RadiAnt DICOM pregledač kako bi se analizirali otvoreni PACS serveri. Eksperti su uspeli da preuzmu skoro 400 od 733,5 miliona snimaka. Najviše dostupnih PACS servera je u severnoj Americi, odnosno SAD-u. Kada je u pitanju Evropa, najviše pogođenih sistema (10) i iscurelih medicinskih kartona (102.893) ima Italija, dok je Srbija na 1. mestu po broju dostupnih snimaka (15.242.000)!

PACS serveri u Evropi

Slika 3. Dostupni podaci sa PACS servera u pojedinim državama Evrope. Izvor slike: Greenbone.

Pored gore opisanih propusta, podaci sa 45 PACS servera su dostupni preko nebezbednih protokola (HTTP i FTP) umesto preko DICOM-a. To znači da se tim podacima može jednostavno pristupiti bez autentifikacije. Istraživači procenjuju da je vrednost iscurelih podataka na dark webu veća od milijardu dolara!

Sajber kriminalci mogu ove podatke da iskoriste na različite načine. Recimo, da naruše ugled pacijenata puštanjem snimaka i konkretnih imena u javnost, da upare podatke sa drugim dostupnim podacima na dark webu kako bi kreirali efikasniji phishing napad, da automatski procesiraju podatke kako bi izvukli korisne informacije o identitetu kao korak u pripremi napada krađe identiteta itd.

Važan update - 09.12.2019.

Prema najnovijem Greenbone Networks izveštaju, Srbija se više ne nalazi na spisku država pogođenih ovim problemom! 11 zemalja, uključujući i Srbiju, preduzelo je hitne akcije i skinulo PACS servere sa interneta. Za pohvalu je brza reakcija našeg nacionalnog CERT-a i relevantnih institucija, posebno kada se ima u vidu da veliki broj pogođenih zemalja nije ništa preduzeo da reši problem. Situacija sa otvorenim PACS serverima je naročito ozbiljna u SAD-u, Indiji, Južnoj Africi, Brazilu i Ekvadoru, gde su brojke u porastu (neke i drastičnom) u odnosu na septembar, kada je curenje podataka prvobitno uočeno.

Greenbone Networks napominje da zemlje koje su preduzele mere za saniranje curenja podataka ovo mogu smatrati "kratkoročnom" pobedom, jer postoji rizik da će bolnice, klinike i pružaoci medicinskih usluga napraviti istu grešku u budućnosti. Za "dugoročnu" pobedu poželjno je preduzeti akcije za podizanje nivoa bezbednosti koje se preporučuju u gore pomenutom izveštaju.