Sızdıran DICOM Tıbbi Standardı Milyonlarca Hasta Kaydını Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

Sızdıran DICOM Tıbbi Standardı Milyonlarca Hasta Kaydını Ortaya Çıkarıyor - Dünyadan Güncel Teknoloji Haberleri

DICOM: Bizim Tarafımızda Güvenlik Sorunu Yok

DICOM sözcüsü yaptığı açıklamada, DICOM’un üreticilerin kullanmayı tercih ettiği standart bir protokol olduğunu ve hangi güvenlik mekanizmalarının kendi ortamları için uygun olduğuna nihai olarak karar verecek olanların satıcılar ve sağlık hizmetleri sunan kuruluşlar olduğunu söyledi ”

Görüntüleme Makinesine Maruz Kalmak Milyonlarca Hastayı Etkiliyor

Araştırmacılar, 30 yıl boyunca “isimler, adresler, doğum tarihleri, cinsiyet gibi kişisel bilgiler de dahil olmak üzere” 59 milyon kaydın görünür olabileceğini ve bazı durumlarda bu kişilerin Sosyal Güvenlik numaralarını bile görebileceğimizi tahmin ettiklerini söylüyor

Araştırmacılar bir yayınladı danışma güvenlik sorunları hakkında bilgi veriyorlar ve kullanıcıların bir DICOM sunucusunu uzaktan erişime açmaya ve mümkünse iletişimleri dahili tutmaya gerçekten ihtiyaç olup olmadığını değerlendirmelerini öneriyorlar Güvenlik önlemleri karmaşıksa sorun yaşanacaktır ”

Araştırmacılar bu görüşe katıldıklarını söylüyor beyanı ve Black Hat Avrupa’daki sunumun veri sızıntısı sorununa ilişkin alarmın çalınmasına yardımcı olacağını umuyorlar

Aplite kıdemli BT güvenlik danışmanları Sina Yazdanmehr ve İbrahim Akkulak, internette erişilebilen DICOM protokolünü kullanan 3

Aplite araştırmacıları, Tıpta Dijital Görüntüleme ve İletişim (DICOM) protokolünü inceledi ” Yazdanmehr diyor ”



siber-1

Kısacası uygun güvenlik, cihaz üreticileri ve sağlık hizmeti veren kuruluşlar arasında ortak bir sorumluluktur uluslararası kabul görmüş standart Küresel olarak çoğu radyoloji, kardiyoloji görüntüleme ve radyoterapi ortamında uygulanan tıbbi görüntüleme transferleri için “Fakat bunun uzun bir yolculuk olacağını düşünüyorum Yazdanmehr, 2021’de bazı güncellemeler olduğunu söylüyor, ” ancak görmek istediğimiz güvenlik iyileştirmeleri açısından değil

Yazdanmehr, “Umarım farkındalığı artırabiliriz, daha iyi hale getirebiliriz, sayı azalır ve daha fazla satıcı ve hastane altyapısını güçlendirmeye başlar” diyor Güvenli olmayan, kendinden imzalı sertifikalara başvurmayı önlemek için önemli düzeyde uzmanlık ve kaynak gerektirir

Cihazların birbirleriyle konuşabilmesi ve veri alışverişinde bulunabilmesi gerektiğini ancak elektronik kayıtların güvenli bir şekilde taşınmasının zincirdeki her bağlantının güvenli ve güncel olmasını gerektirdiğini ve ekipman ve tıbbi cihazların çoğunluğunun gelişmiş ve gelişmiş teknolojileri destekleyebildiğini belirtiyor ” başlıklı araştırmaya göre, protokol kullanıcılarının genellikle güvenlik kontrollerini kullanmadığını tespit ettiler

Açıklamaya göre “DICOM standardını uygulayan sistemlerin uygulanması, dağıtımı, satın alınması, bakımı ve yapılandırılması, ürün satıcılarının ve onların müşterilerinin sorumluluğundadır Bunun yalnızca bir standardın sorumluluğunda olduğunu iddia etmek yanlıştır 800’den fazla sunucunun tespit edildiğini ve bunların %30’unun hassas veriler sızdırdığını tespit etti “

Ayrıca bazı vakalarda MRI, röntgen veya CT tarama sonuçları gibi muayene sonuçlarının yanı sıra muayene tarihi ve saatini gösteren tıbbi kayıtların da bulunduğunu söylüyorlar

Bu nedenle, DICOM’da neredeyse yirmi yıldır belirtilen bir “Güvenli Bağlantı özelliği”nin bulunduğuna ve bunun Ulusal Konseyin tavsiyelerini yansıtacak şekilde düzenli olarak güncellendiğine dikkat çekilen açıklamaya göre, DICOM standardı doğası gereği bir güvenlik riski teşkil etmiyor

Yazdanmehr, görüştükleri makinelerin satıcılarının sorunların farkında olduğunu ancak riskin ne kadar büyük olduğundan ve veri sızıntısının hacminden habersiz olduklarını söylüyor Milyonlarca Hasta Kaydı Risk Altında: Eski Protokollerin Tehlikeleri,” Aralık ayında Londra’da Black Hat Europe’da sunacaklar Ayrıca güvenlik önlemlerinin hiçbirinin zorunlu olmadığını, dolayısıyla düzenleyici yönetişim eksikliğinin güvensizliğin başka bir nedeni olarak görülebileceğini iddia ediyor

“TLS sertifikalarını yönetmek karmaşıktır Bunlar arasında güvenlik risklerine ilişkin farkındalık eksikliği; donanımın güvenlik önlemleri mevcut olmadan geliştirilmesi; bu da yükseltmeleri karmaşık ve zaman alıcı hale getirir (ve belki de mümkün bile değildir); ve bazı satıcılar genellikle erişim kontrolü ve sertifikalar gibi güvenlik önlemlerini uygulamak için gereken BT altyapısına sahip olmayan daha küçük kuruluşları hedef alıyor

Protokolün en son versiyonunun 30 yıl önce, 1993’te tanıtıldığı, orijinalinin 1985’te ve revize edilmiş baskısının 1988’de yayınlandığı göz önüne alındığında belki de güvenlik açıkları beklenebilir ” Ayrıca, yazılımın sağlanması ve sürdürülmesi de satıcıların sorumluluğundadır



Araştırmacılar, tıbbi ekipmanlarda eski bir protokolün kullanılması nedeniyle son birkaç on yılda yaklaşık 60 milyon kişisel ve tıbbi kaydın açığa çıkmış olabileceğini söylüyor

Araştırmacılar, DICOM protokolünün TLS entegrasyonu ve kullanıcı kimliği gibi güvenlik önlemlerini içerdiğini ancak çoğu satıcının bunları çeşitli nedenlerden dolayı uygulamadığını açıkladı Standartlar ve Teknoloji Enstitüsü (NIST) ve diğer uluslararası standart belirleme kuruluşları