3k彩票代理注册
热文推荐热文推荐
你的医疗信息安全吗?数百万人的医疗信息已经在互联网上传播。
发布时间:2019-12-05 作者:admin 点击:1283 评论:0 字号:

你的医疗信息安全吗?数百万人的医疗信息已经在互联网上传播。

数百万美国人的医学图像和健康数据,包括x光、磁共振成像和电脑扫描,在互联网上不受保护,任何具有基本计算机专业知识的人都可以使用。这些记录覆盖了美国500多万名患者和全世界数百万名患者。ProPublica和德国广播公司Bayerischer Rundfunk发现,在某些情况下,窥探者可以使用自由软件程序——或者仅仅是一个典型的网络浏览器——来查看图像和私人数据。

我们已经确定了187台服务器——用于存储和检索医疗数据的计算机——在美国不受密码或基本安全预防措施的保护。从佛罗里达到加利福尼亚的计算机系统被用于医生办公室、医学成像中心和移动x光服务。

近年来,我们发现的不安全服务器增加了受损病历系统的数量。与最近一些臭名昭著的安全漏洞不同,黑客在这些漏洞中逃避了公司的网络防御。这些记录通常存储在缺乏安全预防措施的服务器上,这一直是企业和政府机构的标准。

进入一扇敞开的门

“这甚至不是黑客攻击,”网络安全研究员兼咨询公司Spyglass Security首席执行官杰伊·基辛格(Jay Kissinger)说。它正进入一扇敞开的门。“在我们告诉他们我们的发现后,一些医疗服务提供商开始锁定他们的系统。

我们的审查发现,暴露程度因健康提供者和他们使用的软件而异。例如,美国公司MobilexUSA的服务器通过输入简单的数据查询显示了100多万名患者的姓名。他们的出生日期,医生和手术也包括在内。

受ProPublica的提醒,上周MobilexUSA加强了其安全性。该公司使用移动x光技术为疗养院、康复医院、临终关怀机构和监狱提供成像服务。“我们很快缓解了ProPublica发现的潜在漏洞,并立即开始了持续彻底的调查,”MobilexUSA的母公司在一份声明中表示。

另一个与洛杉矶医生联系的成像系统允许任何人在网上看到病人的超声心动图。(医生没有回答普罗大众的询问。)

总之,全世界1600多万次扫描的医疗数据可以在网上获得,包括姓名、出生日期以及在某些情况下的社会保险号。

专家表示,很难确定谁应对未能保护医学图像隐私负责。根据美国法律,医疗服务提供商及其商业伙伴在法律上有责任确保患者数据隐私。一些专家表示,这类患者数据的暴露可能违反健康保险流通与责任法案(HIPAA),即1996年要求医疗保健提供者保护美国健康数据的机密性和安全性的法律。

尽管ProPublica没有发现从这些系统复制患者数据并在其他地方发布的证据,但未经授权访问这些信息的后果可能是毁灭性的。“病历是最重要的隐私领域之一,因为它们非常敏感。医学知识可以用恶意的方式对付你:羞辱和勒索他人,”安全研究员和高级技术专家库珀·金廷说。与数字版权组织电子前沿基金会合作。

“这完全是不负责任的,”他说。

这个问题不应该让医疗服务提供商感到惊讶。多年来,一位专家试图警告不要随意处理个人健康数据。马萨诸塞州总医院放射科医学分析主任奥列格·皮亚奇(Oleg Pianykh)表示,医学成像软件的传统假设是患者的数据将受到客户计算机安全系统的保护。

展开全文

安全已经成为一个自己动手的项目

然而,随着医院和医疗中心网络变得越来越复杂并与互联网相连,安全的责任转移到了网络管理员身上,他们认为安全措施已经到位。“突然之间,医疗安全变成了一个自己动手的项目,”皮亚奇在2016年发表于医学杂志的一篇研究论文中写道。

ProPublica的调查基于格林波恩网络公司,一家总部设在德国的安全公司,在每个有人居住的大陆上至少有52个国家发现了问题。格林波恩的德克·施拉德在发现一些病人的健康记录中存在风险后,首先与巴伐利亚州的润德丰分享了他的研究。随后,德国记者联系ProPublica,讨论美国的曝光程度。

施拉德在德国发现了5台服务器,在美国发现了187台服务器。这些服务器可以在没有密码的情况下获取患者记录。ProPublica和Bayerischer Rundfunk还扫描了互联网协议地址,并在可能的情况下确定了他们所属的医疗服务提供商。

ProPublica独立确定了美国有多少患者可能受到影响,并在一些服务器已经过时的操作系统中发现了已知的安全漏洞。施拉德说,美国超过1370万次医学测试的数据可以在网上获得,包括超过40万张可下载的x光片和其他图像。

隐私问题可以追溯到医疗行业从模拟技术向数字技术的转变。电影x光显示在荧光板上的日子已经一去不复返了。如今,成像研究可以立即上传到服务器上,由办公室的医生通过互联网查看。

有一点历史

在这项技术的早期阶段,像大多数互联网一样,很少考虑安全性。HIPAA的采用要求保护患者信息免受未经授权的访问。三年后,医学影像行业发布了第一个安全标准。

我们的报告显示,大型连锁医院和学术医疗中心确实实施了安全保护措施。我们发现的大多数未受保护的数据涉及独立的放射科医生、医学成像中心或归档服务。

德国病人凯瑟琳娜·加斯帕里三年前接受了核磁共振检查,她说她通常信任她的医生。但是在巴伐利亚州州长润丰给加斯帕里看了她的在线照片后,她说,“现在,我不确定我是否还能做到。”存储她的记录的德国系统上周被锁定了。

我们发现一些用于存档医学图像的系统也缺乏安全预防措施。总部设在丹佛的“异地图像”公布了340,000多份人类和兽医记录的名称和其他细节,包括普罗大众发现的大型猫科动物玛莎罗。场外图像公司的一名高管告诉ProPublica,该公司向客户收取50美元的访问费和1美元的研究费。“您的数据对我们来说是安全可靠的,”异地图像的网站说。

该公司将ProPublica推荐给其技术顾问,该顾问最初为异地映像的安全做法辩护,并坚持要求密码才能访问患者记录。顾问马修·内尔姆斯(Matthew Nelms)一天后给ProPublica记者打电话,承认异地映像的服务器可以访问,但现在已经修复。

“我们甚至从未意识到这种可能性甚至可能发生,”内尔姆斯说。

1985年,一个包括放射学家和成像设备制造商在内的行业组织创建了医学成像软件标准。这一标准现在被称为医学影像标准,详细说明了医学成像设备如何相互通信和共享信息。

[医学影像和技术联盟/S2/]

我们与负责该标准的医学成像和技术联盟的官员分享了我们的发现。他们承认,互联网上有数百台服务器有开放的连接,但认为责任在于运行它们的人。

该组织在一份声明中说:“虽然这是一个相对较小的数字,但其中一些系统可能包含患者记录。”。对于运行这些系统的人来说,这些可能代表不正确的配置选择。"

2017年会议的记录显示,安全工作组理解Pianykh的调查结果,并建议与他会面进行进一步讨论。“行动项目”被列了几个月,但皮奈赫说他从未被联系过。医学影像联盟上周告诉ProPublica,该组织没有与Pianykh会面,因为他们的文章充分阐述了他们的担忧。他们说,委员会认为其安全标准没有缺陷。

皮奈克说他错过了这一点。这不是缺乏标准;这是医疗设备制造商没有跟踪他们。皮奈赫在2016年写道:“医疗数据的安全性在临床数据或设备中从未完善过,而且在很大程度上仍然是理论性的,在实践中也不存在。”

ProPublica的最新发现涉及其他几个主要漏洞。2015年,美国健康保险公司Anthem Inc .披露,超过7800万人的私人数据遭到黑客攻击。根据美国卫生和人类服务部(Department of Health and Human Services)记录的分析,在过去两年中,美国官员报告称,超过4000万人的医疗数据遭到破坏。

纠正故意忽视

前HHS隐私官员乔伊·普里茨(Joy Pritts)表示,政府不够强硬,无法监控患者隐私的披露。她援引HHS 4月份的声明称,将最高年度罚款从150万美元降至25万美元被称为“纠正故意疏忽”——这是该公司试图修复的有意失败或鲁莽冷漠的结果。她表示,大公司不仅会将罚款视为做生意的成本,还会与政府协商降低罚款。2015年ProPublica的检查发现,重蹈重蹈重蹈重债穷国覆辙的罪犯没有什么后果。

HHS民权办公室的一名发言人表示,不会对公开或潜在的调查发表评论,该办公室负责实施违反HIPAA的行为。

“我们通常在医疗保健行业看到的是将创可贴应用于传统计算机系统的创可贴,”网络安全专家辛格说。她说,制造商、标准制定者和医院之间的“共同责任”是确保计算机服务器的安全。

“这是2019年,”她说。“没有理由这样做。”

我如何知道我的医学影像数据是否安全?

如果您是患者:如果您已经执行了医学成像扫描(例如,x光、电脑断层扫描、核磁共振成像、超声波等)。),请询问执行扫描的医疗保健提供商或医生——如果您的图像访问需要登录,请输入密码。询问您的医生,他们推荐的是他们的办公室还是医学影像提供商,他们建议患者按照HIPAA要求进行定期的安全评估。[/s2/]返回搜狐查看更多信息

负责任的编辑:

文章页分享代码

发表评论

Sorry...请填写昵称和邮箱

  • 必填(*)
  • 选填
  • 选填
最新评论最新评论
登录 | 关于我们 | 联系方式 | 手机版
站点地图一彩快递单 彩C678 彩25 万彩 彩票网 口袋彩店商家 rjdd.netfuyoudl.comchunshanyuan.com0598xy.comdlywxx.comwoaimeizi.comnimaboke.comlw-sh.comcma.caiquanqiu.cnwebcdn.portcai.cntr.53afcaipiao.cnyw.yuleemail.cnemail.80dscaipiao.cn