Data miljoenen patiënten op onbeveiligde servers aangetroffen
Onderzoekers hebben op honderden onbeveiligde servers die voor iedereen op eenvoudige wijze toegankelijk zijn medische data van miljoenen patiënten aangetroffen, zoals röntgenscans, MRI-scans, namen, geboortedata, behandeldata en in sommige gevallen social security nummers.
De gegevens zijn van patiënten wereldwijd, zo blijkt uit onderzoek van ProPublica en de Duitse omroep Bayerischer Rundfunk. De onderzoekers vonden honderden servers die eenvoudig toegankelijk waren. Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen.
De servers worden door ziekenhuizen en specialisten gebruikt voor de opslag van röntgenfoto's, MRI-scans, mammogrammen en andere afbeeldingen. In veel gevallen zijn ze zonder wachtwoord toegankelijk. Verschillende servers draaiden daarnaast op verouderde besturingssystemen met bekende kwetsbaarheden. "De patiëntgegevens zijn toegankelijk omdat de eenvoudigste it-beveiligingsmaatregelen zoals gebruikersnaam en wachtwoord om toegang te krijgen en encryptie niet zijn genomen", zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Het gaat onder andere om picture archiving and communication systems (PACS) servers die de DICOM-standaard gebruiken. Deze standaard uit 1985 beschrijft hoe apparaten die medische afbeeldingen maken met elkaar communiceren en data delen. Wanneer de servers direct toegankelijk vanaf het internet zijn zonder vpn of firewall, of wanneer er geen veilig wachtwoord wordt vereist, kunnen de opgeslagen gegevens worden benaderd.
"Als een samenleving moeten we begrijpen dat de grote digitaliseringsprojecten die ons zoveel voordelen kunnen brengen alleen slagen als ze vanaf het begin veilig worden ontworpen. Alleen als burgers de security van hun data vertrouwen zal digitalisering slagen", zegt Arne Schönbohm, directeur van het BSI. Verschillende van de ziekenhuizen en medische instellingen waar de onbeveiligde servers werden aangetroffen hebben die beveiligd nadat ze door de onderzoekers waren gewaarschuwd.
Verder zijn de aantallen nogal vreemd weergegeven: "Het ging onder andere om 187 servers en webservers in de Verenigde Staten met de medische data van meer dan 5 miljoen mensen. Wereldwijd gaat het om miljoenen mensen." Je bedoelt 5 miljoen in de VS, 2 in de rest van de wereld en wereldwijd dus nog steeds miljoenen? Of 5 miljoen in de VS en 378 miljoen in de rest van de wereld? En ook nog steeds miljoenen...
Hebben we het dan over landen als Etheopie en Thailand? Of als Zweden, Denemarken en Nederland binnen onze EU wetgeving?
Verder wordt er vrij weinig specifiek gemeld: De MRI scan's zijn zonder wachtwoord toegankelijk? Direct vanaf het internet? Of nadat men in het systeem heeft ingebroken?
Dit artikel had qua inhoud kunnen volstaan met 1 zin: "Er gaat wereldwijd nog steeds veel fout op het gebied van beveiliging".
maken van slimme devices en algoritmes.
Wereldwijd is het nog steeds een puinhoop,
mag ik mijn eigen data beweren,Nee dat mag uw NIET.
Wij beheren dat voor jou,uw mag wel het EPD gebruiken
en alle digitale services van ziekenhuizen,artsen,specialisten en bedrijven,uwv,uitzendbureaus
en gemeentes en overheden.
The Matrix
Ok da's al iets meerzeggend inderdaad. En van wat ik van het artikel begrijp is er dus in 2016 ook al onderzocht en melding gemaakt van 2700 systemen die onbeveiligd waren. Alleen zag de branch niet echt reden om te beveiligingen, want de onderzoekers hadden niet gekeken of er ook daadwerkelijk prive data op de de onbeveilige servers stond.
Die "branche" (ik weet niet zo goed of ze leveranciers of de instellingen zelf bedoelen) zouden ze wat mij betreft strafrechtelijk mogen vervolgen. Als je sensitieve informatie beheert, en iemand meld dat je er onveilig mee om gaat en weigert actie te ondernemen, dan is er m.i. sprake van grove nalatigheid.
Op het kaartje lijkt het mij trouwens meer dat de landen in het grijs niet onderzocht zijn, en dat elk land dat PACS apparatuur gebruikt er last van heeft. Klinkt mij in de oren als een nalatige leverancier die wereldwijd zijn spullen onbeveiligd verkoopt. Maar dat is gissen.
Het volledige rapport (met o.a. getallen over Nederland en de Nederlandse Antillen) van de onderzoekers vind je in https://www.greenbone.net/wp-content/uploads/CyberResilienceReport_EN.pdf.
Dan kan ik, indien nodig, nieuwe persoonsgegevens aanvragen. *rolleyes*
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
