image

'Ziekenhuizen lekken gegevens miljoenen patiënten via slecht beveiligde servers'

woensdag 6 december 2023, 16:35 door Redactie, 12 reacties

Ziekenhuizen en andere medische instellingen wereldwijd lekken via slecht beveiligde servers de gegevens van miljoenen patiënten, zo stellen onderzoekers van securitybedrijf Aplite op basis van eigen onderzoek. Het gaat om röntgenscans, MRI-scans, namen, adresgegevens, behandeldata en in sommige gevallen social-securitynummers. In totaal vonden de onderzoekers meer dan 3800 servers in honderdtien landen met daarop gegevens van zestien miljoen patiënten.

Daarnaast werden op deze servers 43 miljoen 'health' records van patiënten aangetroffen, met onderzoeksuitslagen, wanneer het onderzoek plaatsvond en gegevens van de betreffende arts. De servers maken gebruik van het Digital Imaging and Communications in Medicine (DICOM) protocol, gebruikt voor de opslag van medische scans. DICOM is een decennia oud protocol. DICOM-afbeeldingen worden meestal opgeslagen op een picture storage and sharing system (PACS) server. Zorgpersoneel kan zo afbeeldingen van patiënten in een enkel bestand opslaan en met andere zorginstellingen delen.

De servers blijken echter niet goed beveiligd, waardoor aanwezige patiëntgegevens door onbevoegden zijn te achterhalen. Volgens de onderzoekers maakt minder dan één procent van de DICOM-servers gebruik van effectieve beveiligingsmaatregelen, zo meldt TechCrunch. De onderzoekers presenteren vandaag hun bevindingen tijdens de Black Hat Conference en deelden van tevoren al hun onderzoek met de website. De problemen met DICOM zijn niet nieuw, in 2019 werd hier ook al voor gewaarschuwd.

Reacties (12)
06-12-2023, 17:10 door Anoniem
PACS servers worden vaak niet door ICT beheerd, apparatuur wordt door PACS leverancier binnen gereden en beheerd door een PACS beheerder. welke alleen functioneel beheer doet.
Er worden ook op afdelingen allerlei servers neer gezet zoals de gratis Conquest server, die worden vaak in productie toegepast terwijl deze daar duidelijk niet geschikt voor zijn, maar zonder beleid van ziekhuizen kan dat allemaal maar gewoon door gaan.
06-12-2023, 19:03 door Anoniem
Dit is geen probleem wat je even oplost met wat technische fix. Het gaat hier in wezen om onverschilligheid van enorme aantallen medewerkers van die ziekenhuizen. Dat verander je niet van de ene dag op de andere,
06-12-2023, 20:35 door Anoniem
DICOM server kunnen gratis worden gescand met openKAT.
06-12-2023, 21:42 door Anoniem
Door Anoniem: PACS servers worden vaak niet door ICT beheerd, apparatuur wordt door PACS leverancier binnen gereden en beheerd door een PACS beheerder. welke alleen functioneel beheer doet.
Er worden ook op afdelingen allerlei servers neer gezet zoals de gratis Conquest server, die worden vaak in productie toegepast terwijl deze daar duidelijk niet geschikt voor zijn, maar zonder beleid van ziekhuizen kan dat allemaal maar gewoon door gaan.

Er zijn ook genoeg ziekenhuizen die er wel beleid voor hebben, maar waar dit soort zkaen onder andere via Shadow-IT alsnog naar binnen wordt gehaald, of waarbij via de RvB of een andere management laag overruled wordt omdat IT niet levert wat men wil.
07-12-2023, 03:39 door Xavier Ohole - Bijgewerkt: 07-12-2023, 03:39
Ja, ja, geef DICOM maar de schuld, terwijl we toch donders goed weten wie hier het echte probleem zijn? Altijd weer die .........

https://github.com/microsoft/dicom-server
07-12-2023, 07:27 door Anoniem
Door Xavier Ohole: Ja, ja, geef DICOM maar de schuld, terwijl we toch donders goed weten wie hier het echte probleem zijn? Altijd weer die .........

https://github.com/microsoft/dicom-server

ja wie? Microsoft heeft hier 0.0 mee te maken. dat ze een dicom server hebben gebouwd wil niet zeggen dat de wereld die ook gebruikt.
07-12-2023, 07:29 door Anoniem
Door Anoniem:
Door Anoniem: PACS servers worden vaak niet door ICT beheerd, apparatuur wordt door PACS leverancier binnen gereden en beheerd door een PACS beheerder. welke alleen functioneel beheer doet.
Er worden ook op afdelingen allerlei servers neer gezet zoals de gratis Conquest server, die worden vaak in productie toegepast terwijl deze daar duidelijk niet geschikt voor zijn, maar zonder beleid van ziekhuizen kan dat allemaal maar gewoon door gaan.

Er zijn ook genoeg ziekenhuizen die er wel beleid voor hebben, maar waar dit soort zkaen onder andere via Shadow-IT alsnog naar binnen wordt gehaald, of waarbij via de RvB of een andere management laag overruled wordt omdat IT niet levert wat men wil.

zeker waar, er zijn ook nog genoeg ziekenhuizen waar bepaalde niet IT mensen nog rechten hebben om alles te installeren wat hun hartje begeerd. Hoeveel klinisch fysici wel niet vinden dat ze kunnen programmeren en dus ook local admin moeten zijn is ronduit belachelijk.
07-12-2023, 07:56 door Anoniem
Door Xavier Ohole: Ja, ja, geef DICOM maar de schuld, terwijl we toch donders goed weten wie hier het echte probleem zijn? Altijd weer die .........
Weet je of je in dit geval alles aan die ene leverancier toe moet schrijven of neem je maar wat aan?
07-12-2023, 12:26 door Anoniem
Door Anoniem: Dit is geen probleem wat je even oplost met wat technische fix. Het gaat hier in wezen om onverschilligheid van enorme aantallen medewerkers van die ziekenhuizen. Dat verander je niet van de ene dag op de andere,
Het beleid kan in een dag worden aangepast.. daar is Management voor verantwoordelijk. De implementatie kan even duren. Maar waar hebben al die CISO van ziekenhuizen en zorginstellingen zich de afgelopen 4 jaar wel mee bezig-gehouden?
07-12-2023, 12:30 door Anoniem
Door Anoniem:
Door Xavier Ohole: Ja, ja, geef DICOM maar de schuld, terwijl we toch donders goed weten wie hier het echte probleem zijn? Altijd weer die .........

https://github.com/microsoft/dicom-server

ja wie? Microsoft heeft hier 0.0 mee te maken. dat ze een dicom server hebben gebouwd wil niet zeggen dat de wereld die ook gebruikt.
hme welk percentage markt aandeel hebben ze?
<<1% ok dan maken ze een kans bij de topscoorders te zitten. Maar dat zijn dan minder dan 38 implementaties.

hoe dan ook een statistisch niet significant aantal systemen heeft een hindernisje.
07-12-2023, 12:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: PACS servers worden vaak niet door ICT beheerd, apparatuur wordt door PACS leverancier binnen gereden en beheerd door een PACS beheerder. welke alleen functioneel beheer doet.
Er worden ook op afdelingen allerlei servers neer gezet zoals de gratis Conquest server, die worden vaak in productie toegepast terwijl deze daar duidelijk niet geschikt voor zijn, maar zonder beleid van ziekhuizen kan dat allemaal maar gewoon door gaan.

Er zijn ook genoeg ziekenhuizen die er wel beleid voor hebben, maar waar dit soort zkaen onder andere via Shadow-IT alsnog naar binnen wordt gehaald, of waarbij via de RvB of een andere management laag overruled wordt omdat IT niet levert wat men wil.

zeker waar, er zijn ook nog genoeg ziekenhuizen waar bepaalde niet IT mensen nog rechten hebben om alles te installeren wat hun hartje begeerd. Hoeveel klinisch fysici wel niet vinden dat ze kunnen programmeren en dus ook local admin moeten zijn is ronduit belachelijk.

Als ze ook admin willen zijn willen ze dan ook een formulier ondertekenen waarin ze verklaren hetzij competent te zijn, danwel persoonlijk verantwoordelijk kunnen worden gehouden bij schade via hoor hun eheerbare systemen, waar die afwijken van bedrijfsbeleid?
07-12-2023, 20:38 door Anoniem
Door Anoniem:
Door Anoniem: Dit is geen probleem wat je even oplost met wat technische fix. Het gaat hier in wezen om onverschilligheid van enorme aantallen medewerkers van die ziekenhuizen. Dat verander je niet van de ene dag op de andere,
Het beleid kan in een dag worden aangepast.. daar is Management voor verantwoordelijk. De implementatie kan even duren. Maar waar hebben al die CISO van ziekenhuizen en zorginstellingen zich de afgelopen 4 jaar wel mee bezig-gehouden?
Hun facebook pagina bijwerken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.