Sızdıran DICOM Tıbbi Standardı Milyonlarca Hasta Kaydını Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

Sızdıran DICOM Tıbbi Standardı Milyonlarca Hasta Kaydını Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

Görüntüleme Makinesine Maruz Kalmak Milyonlarca Hastayı Etkiliyor

Araştırmacılar, 30 yıl boyunca “isimler, adresler, doğum tarihleri, cinsiyet gibi kişisel bilgiler de dahil olmak üzere” 59 milyon kaydın görünür olabileceğini ve bazı durumlarda bu kişilerin Sosyal Güvenlik numaralarını bile görebileceğimizi tahmin ettiklerini söylüyor Güvenli olmayan, kendinden imzalı sertifikalara başvurmayı önlemek için önemli düzeyde uzmanlık ve kaynak gerektirir

Protokolün en son versiyonunun 30 yıl önce, 1993’te tanıtıldığı, orijinalinin 1985’te ve revize edilmiş baskısının 1988’de yayınlandığı göz önüne alındığında belki de güvenlik açıkları beklenebilir ” başlıklı araştırmaya göre, protokol kullanıcılarının genellikle güvenlik kontrollerini kullanmadığını tespit ettiler

Aplite araştırmacıları, Tıpta Dijital Görüntüleme ve İletişim (DICOM) protokolünü inceledi “

Ayrıca bazı vakalarda MRI, röntgen veya CT tarama sonuçları gibi muayene sonuçlarının yanı sıra muayene tarihi ve saatini gösteren tıbbi kayıtların da bulunduğunu söylüyorlar Bunlar arasında güvenlik risklerine ilişkin farkındalık eksikliği; donanımın güvenlik önlemleri mevcut olmadan geliştirilmesi; bu da yükseltmeleri karmaşık ve zaman alıcı hale getirir (ve belki de mümkün bile değildir); ve bazı satıcılar genellikle erişim kontrolü ve sertifikalar gibi güvenlik önlemlerini uygulamak için gereken BT altyapısına sahip olmayan daha küçük kuruluşları hedef alıyor



Araştırmacılar, tıbbi ekipmanlarda eski bir protokolün kullanılması nedeniyle son birkaç on yılda yaklaşık 60 milyon kişisel ve tıbbi kaydın açığa çıkmış olabileceğini söylüyor

Yazdanmehr, “Umarım farkındalığı artırabiliriz, daha iyi hale getirebiliriz, sayı azalır ve daha fazla satıcı ve hastane altyapısını güçlendirmeye başlar” diyor Standartlar ve Teknoloji Enstitüsü (NIST) ve diğer uluslararası standart belirleme kuruluşları ”

Araştırmacılar bu görüşe katıldıklarını söylüyor beyanı ve Black Hat Avrupa’daki sunumun veri sızıntısı sorununa ilişkin alarmın çalınmasına yardımcı olacağını umuyorlar Bunun yalnızca bir standardın sorumluluğunda olduğunu iddia etmek yanlıştır Kısacası uygun güvenlik, cihaz üreticileri ve sağlık hizmeti veren kuruluşlar arasında ortak bir sorumluluktur “Fakat bunun uzun bir yolculuk olacağını düşünüyorum

Bu nedenle, DICOM’da neredeyse yirmi yıldır belirtilen bir “Güvenli Bağlantı özelliği”nin bulunduğuna ve bunun Ulusal Konseyin tavsiyelerini yansıtacak şekilde düzenli olarak güncellendiğine dikkat çekilen açıklamaya göre, DICOM standardı doğası gereği bir güvenlik riski teşkil etmiyor

Açıklamaya göre “DICOM standardını uygulayan sistemlerin uygulanması, dağıtımı, satın alınması, bakımı ve yapılandırılması, ürün satıcılarının ve onların müşterilerinin sorumluluğundadır

Aplite kıdemli BT güvenlik danışmanları Sina Yazdanmehr ve İbrahim Akkulak, internette erişilebilen DICOM protokolünü kullanan 3 ”



siber-1

“TLS sertifikalarını yönetmek karmaşıktır uluslararası kabul görmüş standart Küresel olarak çoğu radyoloji, kardiyoloji görüntüleme ve radyoterapi ortamında uygulanan tıbbi görüntüleme transferleri için

Cihazların birbirleriyle konuşabilmesi ve veri alışverişinde bulunabilmesi gerektiğini ancak elektronik kayıtların güvenli bir şekilde taşınmasının zincirdeki her bağlantının güvenli ve güncel olmasını gerektirdiğini ve ekipman ve tıbbi cihazların çoğunluğunun gelişmiş ve gelişmiş teknolojileri destekleyebildiğini belirtiyor

Araştırmacılar bir yayınladı danışma güvenlik sorunları hakkında bilgi veriyorlar ve kullanıcıların bir DICOM sunucusunu uzaktan erişime açmaya ve mümkünse iletişimleri dahili tutmaya gerçekten ihtiyaç olup olmadığını değerlendirmelerini öneriyorlar ” Yazdanmehr diyor

Araştırmacılar, DICOM protokolünün TLS entegrasyonu ve kullanıcı kimliği gibi güvenlik önlemlerini içerdiğini ancak çoğu satıcının bunları çeşitli nedenlerden dolayı uygulamadığını açıkladı

Yazdanmehr, görüştükleri makinelerin satıcılarının sorunların farkında olduğunu ancak riskin ne kadar büyük olduğundan ve veri sızıntısının hacminden habersiz olduklarını söylüyor 800’den fazla sunucunun tespit edildiğini ve bunların %30’unun hassas veriler sızdırdığını tespit etti Milyonlarca Hasta Kaydı Risk Altında: Eski Protokollerin Tehlikeleri,” Aralık ayında Londra’da Black Hat Europe’da sunacaklar Yazdanmehr, 2021’de bazı güncellemeler olduğunu söylüyor, ” ancak görmek istediğimiz güvenlik iyileştirmeleri açısından değil Ayrıca güvenlik önlemlerinin hiçbirinin zorunlu olmadığını, dolayısıyla düzenleyici yönetişim eksikliğinin güvensizliğin başka bir nedeni olarak görülebileceğini iddia ediyor ” Ayrıca, yazılımın sağlanması ve sürdürülmesi de satıcıların sorumluluğundadır

DICOM: Bizim Tarafımızda Güvenlik Sorunu Yok

DICOM sözcüsü yaptığı açıklamada, DICOM’un üreticilerin kullanmayı tercih ettiği standart bir protokol olduğunu ve hangi güvenlik mekanizmalarının kendi ortamları için uygun olduğuna nihai olarak karar verecek olanların satıcılar ve sağlık hizmetleri sunan kuruluşlar olduğunu söyledi Güvenlik önlemleri karmaşıksa sorun yaşanacaktır