由於醫生無視警告,在線上公開了十億張醫學圖像
這個故事是與健康新聞網站The Mighty一起報道的。
每天,數百萬個包含患者個人健康信息的新醫學圖像正湧入互聯網。
數百家醫院,醫療辦公室和圖片中心正在運行不安全的存儲系統,任何擁有互聯網連接和免費下載軟體的人都可以訪問全球超過10億例患者的醫學圖像。
大約一半的暴露者包括X射線,超聲波和CT掃描在內的圖像屬於美國患者。
儘管安全研究人員警告說,他們已經花了數周時間警告醫院和醫生辦公室注意這一問題,但許多人總部位於德國的安全公司Greenbone Networks負責這項研究的Dirk Schrader說:「情況似乎每天都在惡化,」他們無視他們的警告,並繼續向患者公開他們的私人健康信息。
一直在監視過去一年中暴露的伺服器數量。
該問題已得到充分記錄。去年9月,Greenbone發現2400萬例患者檢查存儲了7.2億張醫學圖像,這是ProPublica首次發現問題的規模。兩個月後,暴露的伺服器數量增加了一半以上,達到3500萬例患者檢查,暴露了11.9億次掃描,這嚴重侵犯了患者的隱私。
但問題沒有顯示出減弱的跡象。施拉德說:「即使考慮到由於我們的披露而導致離線獲取的數據量,暴露的數據量仍在增加。」
如果醫生不採取行動,他說暴露的醫學圖像數將
超過十億醫學圖像保持曝光狀態。專家說,這個數字正在惡化,而不是更好。(圖片:提供)
研究人員說,該問題是由醫院,醫生辦公室和放射中心用於存儲患者醫學圖像的伺服器上的常見缺陷引起的。
A具有數十年歷史的文件格式和稱為DICOM的行業標準,旨在使醫療從業人員更輕鬆地將醫學圖像存儲在單個文件中,並與其他醫學實踐共享。可以使用任何免費的應用程序來審查DICOM圖像,就像任何放射線醫生一樣。DICOM圖像通常存儲在圖片保存和通信系統(稱為PACS伺服器)中,從而易於存儲和共享。但是許多醫生辦公室無視最佳安全做法,並直接將其PACS伺服器直接連接到互聯網,而無需輸入密碼。
這些不受保護的伺服器不僅會暴露醫學圖片,還會暴露患者的個人健康信息。許多患者掃描都包含進入DICOM文件的封面,包括患者的姓名,出生日期以及有關其診斷的敏感信息。在某些情況下,醫院使用患者的社會安全號碼來識別這些系統中的患者。
瑞典的安全研究人員盧卡斯·倫德格倫(Lucas Lundgren)去年花費了一部分時間來研究暴露的醫學圖像數據的範圍。在11月,他向TechCrunch展示了任何人從暴露的伺服器審查醫療數據都非常容易。在短短的幾分鐘內,他發現了洛杉磯最大的醫院之一,該醫院暴露了數年前可追溯到成千上萬例患者的掃描圖像。伺服器後來得到了保護。
美國一些最大的醫院和圖片中心是暴露醫療數據的最大罪魁禍首。施拉德說,暴露的數據使患者處於成為「醫療保險欺詐的完美受害者」的風險中。
但是,患者並不知道他們的數據可能會在互聯網上暴露給任何人。
強大的力量檢查了對患者的影響,發現暴露的醫療信息使患者面臨更大的保險欺詐和身份盜竊風險。暴露的數據還會侵蝕患者及其醫生之間的關係,導致患者變得不願意共享潛在的相關信息。
作為我們調查的一部分,我們發現了許多美國成像中心都在存儲數十名患者
一名患者,去年在佛羅里達州的急診室就診後就暴露了信息,她稱其暴露的醫療數據「嚇人」且「不舒服」。另一名患有慢性疾病的患者進行了定期掃描。在加利福尼亞的一家醫院工作了30年。美國最大的一家軍事醫院中的一台不受保護的伺服器暴露了軍事人員和醫學圖像的名稱。
但是即使在只有一個或少數醫學圖像的患者中,數據可用於推斷一個人的健康狀況,包括疾病和傷害。
許多患者掃描包括封面,其中包含烘焙到文件中的個人健康信息。(圖像:提供)
為確保伺服器的安全,Greenbone上個月就其暴露的伺服器與一百多個組織進行了聯繫。隨後,許多較小的組織都對其系統進行了安全保護,從而使曝光圖像的總數略有下降。但是,當安全公司與10個最大的組織聯繫時,這10個最大的組織約佔所有暴露的醫學圖像的五分之一,施拉德說「根本沒有任何反應。」
Greenbone私下共享了該組織的名稱。允許TechCrunch跟進每個醫療機構的組織,其中包括在紐約設有三家醫院的醫療服務提供者,在佛羅里達州有十幾個地點的放射科和位於加州的一家主要醫院。(我們並沒有命名受影響的組織來限制暴露患者數據的風險。)
只有一個組織保護其伺服器的安全。根據Greenbone的數據,Alliance Radiology的合作夥伴Northeast Radiology在美國擁有最大的暴露醫療數據緩存,在其五個辦事處的約120萬患者身上擁有超過6,100萬張圖像。只有在Greenbone首次警告該風險暴露組織一個月之後,TechCrunch才對伺服器進行了保護。
聯盟發言人Tracy Weise拒絕置評。
Schrader說,如果其餘受影響的組織如果將其暴露的系統從互聯網上刪除,則將有近6億張圖像從互聯網上「消失」。
多年來一直對暴露的伺服器發出警告的專家說,醫療實踐沒有什麼借口。研究過醫療設備安全漏洞的安全研究人員伊斯洛爾·米爾斯基(Yisroel Mirsky)去年表示,設備製造商「很大程度上忽略了」創建並維護DICOM標準的標準機構規定的安全功能。
Schrader確實做到了不要怪設備製造商。相反,他說醫生辦公室未能正確配置和保護伺服器是「純粹的過失」。
美國衛生與公共服務部前高級隱私官員露西婭·薩維奇(Lucia Savage)表示,可以提高整個醫療保健行業的安全性,尤其是在缺乏資源的小型組織層面。
「如果數據是個人健康信息,則必須防止未經授權的訪問,包括在網上找到它。她說:「與保護數字醫療信息一樣,有責任鎖定包含紙質醫療記錄的文件室。」
醫療記錄和個人健康數據受到美國法律的高度保護。《健康保險可移植性和責任法案》(HIPAA)制定了「安全規則」,其中包括旨在通過確保數據的私密性和安全性來保護電子個人健康信息的技術和物理保障措施。該法律還規定醫療保健提供者應對任何安全漏洞負責。違反法律可能會導致嚴厲的處罰。
「隨著健康與公共服務部積極推動,使更多的當事人可以在沒有傳統隱私的情況下訪問美國患者的敏感健康信息信息附帶的保護措施,使HHS對這一特定事件的關注變得更加令人不安。」
Sen。馬克·華納(D-VA)
政府去年對一家位於田納西州的醫學成像公司處以300萬美元的罰款,原因是該伺服器無意中暴露了包含30萬個受保護患者數據的伺服器。
衛生和公眾服務執行部門(民權辦公室)最高隱私官員戴維·麥格勞(Deven McGraw)表示,如果較小的提供者可以獲得更多安全援助,則政府可以將執法工作集中在故意忽略的提供者上他們的安全義務。
「政府執法非常重要,對資源匱乏的提供商和技術中內置的易於部署的解決方案的指導和支持也很重要。」McGraw說。「對於任何一家執法機構來說,要真正地削弱它可能都是一個太大的問題。」
由於暴露的醫療伺服器的規模是在9月首次揭曉的,參議員馬克·沃納(Mark Warner)(D-弗吉尼亞州)要求衛生與公共服務部答覆。華納承認,美國的公開伺服器數量有所減少,其中16台伺服器存儲了3,100萬張圖像,但他告訴TechCrunch,「還需要做更多的工作。」
「據我所知,衛生與公共服務已經沒有做任何事情,」華納告訴TechCrunch。他補充說:「由於健康與公共服務部積極推動允許更多的團體訪問美國患者的敏感健康信息,而該信息並未附加傳統的隱私保護,因此,HHS對這一特殊事件的關注變得更加令人不安,」他補充說。
衛生與公共服務公民權利辦公室表示,它不對個別案件發布評論,但為其執法行動辯護。
「OCR過去已採取執法行動來解決與發言人說。
「我們將繼續盡最大努力改善無保護系統的全球狀況,」Schrader說。但是他說,除了警告組織暴露的伺服器外,他還有很多事情要做。
「那麼,這對監管機構來說是個問題。」
NHS傳呼機正在泄漏醫療數據
