Känsliga uppgifter som tillhör miljontals patienter ligger oskyddade på internet

Av | 18 september, 2019

Patientjournaler, röntgenbilder och MRI-scanningar som tillhör miljontals människor över hela världen ligger oskyddade på internet – i många fall behövs inte ens lösenord för att komma åt känsliga uppgifter. Det visar en tysk-amerikansk granskning av säkerheten för webbservrar.

newsgram | Nynäshamn 18 september 2019

| NYLIBERALISM | Miljontals journaler, röntgenbilder som tillhör människor runt om i världen ligger oskyddade på internet och är tillgängliga för vem som helst som har grundläggande datorvana. Allt som behövs är ip-adressen och en webbläsare. Många patientjournaler saknar lösenord.

Det är inte ens hacking. Det här är att gå in genom en öppen dörr, säger Jackie Singh, som är en cybersäkerhetsforskare och VD på konsultbolaget Spyglass Security.

Journalerna gäller för runt 5 miljoner patienter i USA och ytterligare några miljoner i resten av världen. Det tyska radio- och tv-bolaget Bayerischer Rundfunk (BR) och den amerikanska organisationen ProPublica har använt material som har tagits fram av den tyska säkerhetsfirman Greenbone Networks. Företagets VD Dirk Schrader hittade fem servrar i Tyskland och 187 i USA där patienternas journaler var tillgängliga utan lösenord.

BR och ProPublica i sin tur scannade av ip-adresser och identifierade – när detta var möjligt – till vilken vårdgivare som dessa tillhörde. Det rör sig om runt 16 miljoner datauppsättningar som innehåller känsliga uppgifter som namn, födelsedata, röntgenbilder och MRI- och CT-scanringar. Patienter i 52 länder är berörda av webbservrarnas dåliga säkerhet.

Enligt Dirk Schrader finns det data från mer än 13,7 miljoner medicinska tester i USA som ligger alldeles oskyddade på internet, mer än 400,000 är tillgängliga som röntgenbilder och andra medicinska bilder som kan laddas ner från internet. En tysk patient, Katharina Gaspari, genomgick en MRI-scanning för tre år sedan. Normalt sett litar hon på sina läkare. Men efter att BR visat Gaspari att hennes röntgenplåtar låg tillgängliga på internet, sa hon: “Nu är jag inte säker på om jag fortfarande kan göra det.”

Det tyska systemet som lagrade hennes journaler stängdes ned förra veckan. Den tysk-amerikanska granskningen hittade inga bevis på att patientdata kopierats från några servrar och publicerats någonstans. Men konsekvenserna kan vara ödesdigra om någon skulle få för sig att gå in och plocka uppgifter från patientjournaler som ligger öppna på internet.

Patientjournaler är ett av de viktigaste områdena för personlig integritet eftersom dom är så känsliga. Medicinsk kunskap om dig kan användas för att skada dig; skämma ut dig eller utpressa dig. Det här är så totalt ansvarslöst, säger Cooper Quintin, en säkerhetsforskare och teknolog på den digitala rättighetsgruppen Electronic Frontier Foundation.

Granskningen visar att stora sjukhuskedjor och akademiska medicinska mottagningar inte har fått ordning på deras internetsäkerhet. De flesta fall av oskyddad data kom från självständiga radiologer, medicinska röntgenmottagningar och arkiveringstjänster.

 

Eftersom hälso- och sjukvårdsbranschen är en global industri finns det sedan länge inarbetade standarder för hur exempelvis röntgenbilder ska hanteras i digitala miljöer, oavsett var i världen man befinner sig. I 1985 skapade en industrigrupp bestående av radiologer och tillverkare av medicinsk bildutrustning en så kallad standard för medicinsk bild-software. Denna standard kallas för DICOM och förklarar för användarna hur medicinska bild-enheter ska tala med varandra och dela information.

Dålig säkerhet på webbservrar som lagrar patientjournaler. Foto: Kacper Pempel/Reuters

 

Numera är det organisationen Medical Imaging & Technology Alliance (MITA) som ser över hur DICOM efterlevs. När representanter för MITA får reda på att patientjournaler ligger helt öppet och oskyddat på internet erkänner dom att det finns hundratals servrar med öppen anslutning till internet. Men organisationen menar att det är dom som har hand om systemen som bär ansvaret.

Även om det är ett förhållandevis litet antal, kan det vara så att vissa av de här systemen innehåller patientjournaler. De fallen rör sig troligen om dåliga konfigurationsval gjorda av dem som administrerar systemen.

Skriftligt kommentar från Medical Imaging & Technology Alliance

Den amerikanska regeringen är inte tillräckligt tuff när det gäller frågor som rör patienters personliga integritet på internet, det tycker åtminstone Joy Pitts. Hon har tidigare arbetat som tjänsteman på USAs hälso- och socialdepartement (HHS). Pitts tillägger att HHS nyligen har aviserat att man tänker sänka böterna för företag som har begått fel.

En taleskvinna för HHS:s avdelning för medborgerliga rättigheter vill inte kommentera BRs och ProPublicas granskning.

Vad vi vanligtvis ser inom hälso- och sjukvårdsbranschen är att det finns en slags plåster på plåster-praxis. Det är ett delat ansvar mellan tillverkare, policyansvariga och sjukhus för att säkerställa att datorservrarna är skyddade. Det är 2019. Det finns ingen anledning för det här att hända, konstaterar Jackie Singh.

Av Carl Gram

Kommentera