南安农业网
国内新闻 当前位置:首页 > 国内新闻 > 正文

你的就诊信息安全吗数百万人的医学信息已散播于互联网

原标题:您的参观信息安全吗?数百万人的医疗信息已通过Internet传播

属于X射线,MRI和CT扫描的数百万美国人的医学图像和健康数据在互联网上不受保护,任何具有基本计算机专业知识的人都可以使用。这些记录涵盖了美国超过500万患者和全球数百万患者。 ProPublica和德国广播公司Bayerischer Rundfunk发现,在某些情况下,窥探者可以使用免费软件程序-或仅使用典型的Web浏览器来查看图像和私人数据。

我们确定了187台服务器-用于存储和检索医疗数据的计算机-在美国不受密码或基本安全预防措施的保护。从佛罗里达州到加利福尼亚州的计算机系统用于医生办公室,医学成像中心和移动X射线服务。

我们发现的不安全服务器增加了近年来遭受的医疗记录系统数量的增长。与一些最臭名昭着的安全漏洞不同,黑客在这些漏洞中规避了公司的网络防御。这些记录通常存储在缺乏安全预防措施的服务器上,而这些措施早已成为企业和政府机构。标准。

走进敞开的门

网络安全研究员,咨询公司Spyglass Security的首席执行官杰基辛格(Jackie Singer)表示:“它甚至不是黑客,它正向敞开的大门。”在我们告诉他们发现的内容之后,一些医疗服务提供商开始锁定他们的系统。

我们的审查发现,健康提供者和他们使用的软件之间的暴露程度有所不同。例如,美国公司MobilexUSA的服务通过输入简单的数据查询来显示超过一百万名患者的姓名。还包括他们的出生日期,医生和外科手术。

ProPublica警告称,Mobilex USA上周加强了其安全性。该公司使用移动X射线技术为疗养院,康复医院,临终关怀机构和监狱提供成像服务。 MobilexUSA的母公司在一份声明中说:“我们迅速缓解了ProPublica发现的潜在漏洞,并立即开始了持续而彻底的调查。”

与洛杉矶医生联系的另一种成像系统允许互联网上的任何人看到患者的超声心动图。医生没有回答ProPublica的询问。

总体而言,全球在线提供了超过1600万份医学数据扫描,包括姓名,出生日期,在某些情况下还包括社会保险号。

专家说,很难确定谁应对未能保护医学图像的隐私负责。根据美国法律,医疗服务提供商及其业务伙伴应对确保患者数据隐私负有法律责任。一些专家表示,这种对患者数据的暴露可能违反了1996年颁布的《健康保险流通与责任法》(HIPAA),该法律要求医疗保健提供者保护美国健康数据的机密性和安全性。

尽管ProPublica找不到证据表明患者数据是从这些系统复制并发布到其他地方的,但未经授权访问此类信息可能会造成灾难性的后果。 “医学记录是最重要的隐私领域之一,因为它们非常敏感。医学知识可能以恶意方式与您打交道:侮辱,勒索,”安全研究人员和高级技术专家库珀昆廷(Cooper Quintin)说。与电子前沿基金会一起建立的数字版权组织。

他说:“这是完全不负责任的。”

对于医疗保健提供者来说,这个问题应该不足为奇。多年来,一位专家试图警告个人健康数据。马萨诸塞州总医院医学分析主任奥列格皮亚尼赫(Oleg Pianykh)说,传统医学成像软件假定患者数据将受到客户计算机安全系统的保护。

安全已成为一个自己动手的项目

但是,随着医院和医疗中心的网络变得更加复杂并连接到Internet,安全责任将转移给网络管理员,他们假定已经采取了防护措施。 Pianykh在2016年发表在医学期刊上的研究论文中写道:“突然,医疗安全已成为一个自己动手的项目。”

ProPublica的调查基于德国安全公司Greenbone Networks的调查,该调查在每个有人居住的大陆的至少52个国家中发现了问题。在发现某些患者的健康记录受到威胁后,格林伯恩的Dirk Schrader首先与Bayerischer Rundfunk分享了他的研究。然后,这位德国记者与ProPublica联系,以探讨在美国的曝光程度。

Schrader在德国发现了5台服务器,在美国发现了187台没有密码的患者记录。 ProPublica和Bayerischer Rundfunk还扫描了Internet协议地址,并在可能的情况下确定了它们所属的提供商。

ProPublica独立确定在美国可能会影响多少患者,并发现某些服务器正在运行已知的安全漏洞已过时的操作系统。施拉德说,美国在线提供了超过1370万种医学检查,其中包括40万份X射线和其他图像。

隐私问题可以追溯到医学界从模拟技术到数字技术的过渡。在荧光板上显示电影X射线的日子早已不复存在。如今,影像学检查可以立即上传到服务器,并由办公室的医生通过Internet查看。

一点历史

与大多数Internet一样,在该技术的早期阶段,很少考虑安全性。采用HIPAA要求保护患者信息免受未经授权的访问。三年后,医学成像行业发布了第一个安全标准。

我们的报告显示,大型连锁医院和学术医疗中心确实在采取安全措施。我们发现的大多数未受保护的数据都涉及独立的放射科医生,医学影像中心或存档服务。

一名德国患者Katharina Gaspari三年前接受了MRI检查,并说她通常信任她的医生。但是,在Bayerischer Rundfunk向加斯帕里展示她的在线图像后,她说:“现在,我不确定我是否仍然可以。”上周,存储她的记录的德国系统被锁定。

我们发现,一些用于存档医学图像的系统也缺乏安全预防措施。 ProPublica发现,基于丹佛的Offsite Image已经发布了340,000多种人类和兽医记录的名称以及其他详细信息,包括名为“ Marshmellow”的大猫。 Offsite Image的一位高管告诉ProPublica,该公司向客户收取50美元的访问费用,然后为每次研究收取1美元。 “您的数据对我们来说是安全可靠的,” Offsite Image的网站说。

该公司将ProPublica交给其技术顾问,该顾问最初为Offsite Image的安全做法辩护,并坚持要求在访问患者记录时要求输入密码。一天后,顾问Matthew Nelms致电ProPublica记者,并承认Offsite Image服务器是可访问的,但现已修复。

尼尔姆斯说:“我们甚至从未意识到这种可能性会发生。”

1985年,一个由放射科医生和成像设备制造商组成的行业组织制定了医学成像软件的标准。现在被称为DICOM的标准详述了医学成像设备如何相互通信和共享信息。

医学影像与技术联盟

我们与负责该标准的医学影像和技术联盟的官员分享了我们的发现。他们承认Internet上有数百个具有开放连接的服务器,但是建议的责任在于运行它们的人员。

该组织在一份声明中说:“尽管数量相对较少,但是其中一些系统可能包含患者记录。这些记录可能表示运行这些系统的配置选项不正确。”

2017年会议记录表明,安全工作组了解Pianykh的调查结果,并建议与他举行会议以进行进一步讨论。这个“行动计划”被列出了几个月,但皮亚尼克表示从未与他联系。医学影像联盟上周告诉ProPublica,该组织未与Pianykh见面,因为他们的文章完全解决了他们的担忧。他们说,委员会认为其安全标准没有缺陷。

Pianykh说他错过了。这不是缺乏标准;这是医疗设备制造商不关注的地方。 Pianykh在2016年写道:“医疗数据安全性从未在临床数据或设备中得到完善,在很大程度上仍是理论上的,在实践中不存在。”

ProPublica的最新发现还涉及其他几个主要漏洞。 2015年,美国健康保险公司Anthem Inc.透露,超过7800万人的私人数据容易受到黑客的攻击。根据美国卫生与公共服务部的记录,在过去两年中,美国官员报告说,已有超过4000万医疗数据被泄露。

纠正故意疏忽

前HHS隐私官Joy Pritts说,政府力量不足以监视患者隐私泄露。她引用了HHS在四月发布的公告,将最高年度罚款从150万美元降低至25万美元,这被称为“纠正故意疏忽”,这是公司试图解决的有意识的失败或鲁re的冷漠的结果。她说,大公司不仅将这些罚款视为经营成本,而且还可以与政府谈判以减少这些罚款。 2015年ProPublica检查发现,重犯HIPAA罪犯的后果很少。

HHS违反HIPAA规定的民权办公室发言人表示,不会对公开调查或潜在调查发表评论。

网络安全专家辛格说,“我们在医疗行业通常看到的是传统计算机系统使用创可贴。”她说,制造商之间的“共同责任”,标准制定者和医院是为了保证计算机服务器的安全。

“现在是2019年,”她说。没有理由这样做。”

如何知道我的医学图像数据是否安全?

如果您是患者:如果您进行了医学成像扫描(如X光、CT扫描、MRI、超声波等),请向医疗保健提供商或您的医生请求扫描-如果您的图像访问需要登录,请输入密码。根据HIPAA的要求,向您的医生、他们的办公室或他们推荐的医学影像提供商寻求定期的安全评估。返回搜狐查看更多信息

责任编辑:

2019-09-19 14: 50

来源: Health World

你的访问信息安全吗?数百万人的医疗信息已通过互联网传播

数百万美国人的医疗图像和健康数据,包括X光、核磁共振和CT扫描,在互联网上不受保护,任何具备计算机基础知识的人都可以使用。这些记录覆盖了美国500多万病人和全世界数百万病人。ProPublica和德国广播公司Bayerischer Rundfunk发现,在某些情况下,窥探者可以使用免费软件程序或者只是一个典型的网络浏览器来查看图像和私人数据。

我们确定了187台服务器-用于存储和检索医疗数据的计算机-在美国不受密码或基本安全预防措施的保护。从佛罗里达州到加利福尼亚州的计算机系统用于医生办公室,医学成像中心和移动X射线服务。

我们发现的不安全服务器增加了近年来遭受的医疗记录系统数量的增长。与一些最臭名昭着的安全漏洞不同,黑客在这些漏洞中规避了公司的网络防御。这些记录通常存储在缺乏安全预防措施的服务器上,而这些措施早已成为企业和政府机构。标准。

走进敞开的门

网络安全研究员,咨询公司Spyglass Security的首席执行官杰基辛格(Jackie Singer)表示:“它甚至不是黑客,它正向敞开的大门。”在我们告诉他们发现的内容之后,一些医疗服务提供商开始锁定他们的系统。

我们的审查发现,暴露程度随健康提供者及其使用的软件而异。例如,美国公司MobilexUSA的服务器通过输入简单的数据查询来显示超过一百万名患者的姓名。他们的出生日期,医生和手术也包括在内。

Republica提醒MobilexUSA上周加强了其安全性。该公司使用移动X射线技术为疗养院,康复医院,临终关怀机构和监狱提供成像服务。 MobilexUSA的母公司在一份声明中说:“我们迅速缓解了ProPublica发现的潜在漏洞,并立即开始进行彻底的调查。”

与洛杉矶医生联系的另一个成像系统允许互联网上的任何人看到患者的超声心动图。 (医生没有回应ProPublica的询问。)

总的来说,全球在线提供了超过1600万份医学数据扫描,包括姓名,出生日期,在某些情况下还包括社会保险号。

专家说,很难确定谁对未能保护医学图像的隐私负责。根据美国法律,医疗保健提供者及其业务伙伴对确保患者数据的隐私负有法律责任。一些专家说,暴露此患者数据可能违反《健康保险可移植性和责任法案》(简称HIPAA),1996年的法律要求医疗保健提供者保护美国健康数据的机密性和安全性。

尽管ProPublica找不到证据表明患者数据是从这些系统复制并发布到其他地方的,但未经授权访问此类信息的后果可能是灾难性的。 “医学记录是最重要的隐私领域之一,因为它们非常敏感。医学知识可能以恶意方式与您打交道:侮辱人,欺骗人,”安全研究员兼高级技术专家库珀昆廷(Cooper Quintin)说。与电子前沿基金会一起建立的数字版权组织。

他说:“这是完全不负责任的。”

对于医疗保健提供者来说,这个问题应该不足为奇。多年来,一位专家试图警告个人健康数据。马萨诸塞州总医院医学分析主任奥列格皮亚尼赫(Oleg Pianykh)说,传统医学成像软件假定患者数据将受到客户计算机安全系统的保护。

安全已成为一个自己动手的项目

但是,随着医院和医疗中心的网络变得更加复杂并连接到Internet,安全责任将转移给网络管理员,他们假定已经采取了防护措施。 Pianykh在2016年发表在医学期刊上的研究论文中写道:“突然,医疗安全已成为一个自己动手的项目。”

ProPublica的调查是基于Greenbone Networks的一项调查,Greenbone Networks是一家总部位于德国的安全公司,在每个有人居住的大陆上至少52个国家发现了问题。在发现一些病人的健康记录有风险后,Greenbone的Dirk Schrader首先与Bayerischer Rundfunk分享了他的研究。随后,这位德国记者联系了普罗普利卡,探讨美国曝光的程度。

schrader在德国发现了5台服务器,在美国发现了187台服务器,这些服务器在没有密码的情况下获得了患者记录。ProPublica和Bayerischer Rundfunk还扫描了Internet协议地址,并在可能的情况下确定了它们所属的提供商。

ProPublica独立确定美国有多少患者可能受到影响,并发现某些服务器运行的操作系统已过时已知的安全漏洞。schrader说,在美国有超过1370万的医学测试可以在线进行,其中包括超过40万份x射线和其他图像。

隐私问题可以追溯到医学界从模拟技术到数字技术的转变。在荧光屏上显示电影x射线的日子早已不复存在。如今,影像学研究可以立即上传到服务器,并由办公室的医生通过互联网查看。

一点历史记录

在这项技术的早期阶段,和大多数互联网一样,很少考虑安全性。采用hipaa要求保护患者信息不受未经授权的访问。三年后,医学影像行业发布了第一个安全标准。

我们的报告显示,大型连锁医院和学术医疗中心确实在采取安全措施。我们发现的大多数未受保护的数据都涉及独立的放射科医生,医学影像中心或存档服务。

一名德国患者Katharina Gaspari三年前接受了MRI检查,并说她通常信任她的医生。但是,在Bayerischer Rundfunk向加斯帕里展示她的在线图片后,她说:“现在,我不确定我是否还能。”上周,存储她的记录的德国系统被锁定。

我们发现,一些用于存档医学图像的系统也缺乏安全预防措施。 ProPublica发现,基于丹佛的Offsite Image已经发布了340,000多种人类和兽医记录的名称以及其他详细信息,包括名为“ Marshmellow”的大猫。 Offsite Image的一位高管告诉ProPublica,该公司向客户收取50美元的访问费用,然后为每次研究收取1美元。 “您的数据对我们来说是安全可靠的,” Offsite Image的网站说。

该公司将ProPublica交给其技术顾问,该顾问最初为Offsite Image的安全做法辩护,并坚持要求在访问患者记录时要求输入密码。一天后,顾问Matthew Nelms致电ProPublica记者,并承认Offsite Image服务器是可访问的,但现已修复。

尼尔姆斯说:“我们甚至从未意识到这种可能性会发生。”

1985年,一个由放射科医生和成像设备制造商组成的行业组织制定了医学成像软件的标准。现在被称为DICOM的标准详述了医学成像设备如何相互通信和共享信息。

医学影像与技术联盟

我们与负责该标准的医学影像和技术联盟的官员分享了我们的发现。他们承认Internet上有数百个具有开放连接的服务器,但是建议的责任在于运行它们的人员。

该组织在一份声明中说:“尽管数量相对较少,但是其中一些系统可能包含患者记录。这些记录可能表示运行这些系统的配置选项不正确。”

2017年会议记录表明,安全工作组了解Pianykh的调查结果,并建议与他举行会议以进行进一步讨论。这个“行动计划”被列出了几个月,但皮亚尼克表示从未与他联系。医学影像联盟上周告诉ProPublica,该组织未与Pianykh见面,因为他们的文章完全解决了他们的担忧。他们说,委员会认为其安全标准没有缺陷。

Pianykh说他错过了。这不是缺乏标准;这是医疗设备制造商不关注的地方。 Pianykh在2016年写道:“医疗数据安全性从未在临床数据或设备中得到完善,在很大程度上仍是理论上的,在实践中不存在。”

ProPublica的最新发现还涉及其他几个主要漏洞。 2015年,美国健康保险公司Anthem Inc.透露,超过7800万人的私人数据容易受到黑客的攻击。根据美国卫生与公共服务部的记录,在过去两年中,美国官员报告说,已有超过4000万医疗数据被泄露。

纠正故意疏忽

前HHS隐私官Joy Pritts说,政府力量不足以监视患者隐私泄露。她引用了HHS在4月份发布的公告,将最高年度罚款从150万美元降低至25万美元,这被称为“纠正故意疏忽”,这是公司试图解决的有意识的失败或鲁ck的冷漠的结果。她说,大公司不仅将这些罚款视为经营成本,而且还可以与政府谈判以减少这些罚款。 2015年ProPublica检查发现,重犯HIPAA罪犯的后果很少。

HHS违反HIPAA规定的民权办公室发言人表示,不会对公开调查或潜在调查发表评论。

网络安全专家Singh说:“在医疗保健行业中,我们通常会看到在传统的计算机系统中使用创可贴创可贴。”她说,制造商,标准制定者和医院之间的“共同责任”是确保计算机服务器的安全。

她说:“这是2019年。” “没有理由这样做。”

我怎么知道我的医学图像数据是否安全?

如果您是患者:如果您进行了医学成像扫描(例如X射线,CT扫描,MRI,超声等),请咨询医疗保健提供者或您的医生以进行扫描-如果您的图像访问权限需要登录,密码。向您的医生,他们的办公室或推荐的医学成像提供者咨询,以进行HIPAA要求的定期安全评估。回到搜狐,看看更多

负责编辑:

免责声明:本文仅代表作者本人,搜狐是信息发布平台,搜狐仅提供信息存储空间服务。

药物

患者

美国

服务器

医疗

阅读()



南安农业网 版权所有© www.zhuanhua6.net.cn 技术支持:南安农业网 | 网站地图