这个故事是与健康新闻网站The Mighty一起报道的。
每天,数百万个包含患者个人健康信息的新医学图像正涌入互联网。
数百家医院,医疗办公室和图片中心正在运行不安全的存储系统,任何拥有互联网连接和免费下载软件的人都可以访问全球超过10亿例患者的医学图像。
大约一半的暴露者包括X射线,超声波和CT扫描在内的图像属于美国患者。
尽管安全研究人员警告说,他们已经花了数周时间警告医院和医生办公室注意这一问题,但许多人总部位于德国的安全公司Greenbone Networks负责这项研究的Dirk Schrader说:“情况似乎每天都在恶化,”他们无视他们的警告,并继续向患者公开他们的私人健康信息。
一直在监视过去一年中暴露的服务器数量。
该问题已得到充分记录。去年9月,Greenbone发现2400万例患者检查存储了7.2亿张医学图像,这是ProPublica首次发现问题的规模。两个月后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。
但问题没有显示出减弱的迹象。施拉德说:“即使考虑到由于我们的披露而导致脱机获取的数据量,暴露的数据量仍在增加。”
如果医生不采取行动,他说暴露的医学图像数将
超过十亿医学图像保持曝光状态。专家说,这个数字正在恶化,而不是更好。(图片:提供)
研究人员说,该问题是由医院,医生办公室和放射中心用于存储患者医学图像的服务器上的常见缺陷引起的。
A具有数十年历史的文件格式和称为DICOM的行业标准,旨在使医疗从业人员更轻松地将医学图像存储在单个文件中,并与其他医学实践共享。可以使用任何免费的应用程序来审查DICOM图像,就像任何放射线医生一样。DICOM图像通常存储在图片保存和通信系统(称为PACS服务器)中,从而易于存储和共享。但是许多医生办公室无视最佳安全做法,并直接将其PACS服务器直接连接到互联网,而无需输入密码。
这些不受保护的服务器不仅会暴露医学图片,还会暴露患者的个人健康信息。许多患者扫描都包含进入DICOM文件的封面,包括患者的姓名,出生日期以及有关其诊断的敏感信息。在某些情况下,医院使用患者的社会安全号码来识别这些系统中的患者。
瑞典的安全研究人员卢卡斯·伦德格伦(Lucas Lundgren)去年花费了一部分时间来研究暴露的医学图像数据的范围。在11月,他向TechCrunch展示了任何人从暴露的服务器审查医疗数据都非常容易。在短短的几分钟内,他发现了洛杉矶最大的医院之一,该医院暴露了数年前可追溯到成千上万例患者的扫描图像。服务器后来得到了保护。
美国一些最大的医院和图片中心是暴露医疗数据的最大罪魁祸首。施拉德说,暴露的数据使患者处于成为“医疗保险欺诈的完美受害者”的风险中。
但是,患者并不知道他们的数据可能会在互联网上暴露给任何人。
强大的力量检查了对患者的影响,发现暴露的医疗信息使患者面临更大的保险欺诈和身份盗窃风险。暴露的数据还会侵蚀患者及其医生之间的关系,导致患者变得不愿意共享潜在的相关信息。
作为我们调查的一部分,我们发现了许多美国成像中心都在存储数十名患者
一名患者,去年在佛罗里达州的急诊室就诊后就暴露了信息,她称其暴露的医疗数据“吓人”且“不舒服”。另一名患有慢性疾病的患者进行了定期扫描。在加利福尼亚的一家医院工作了30年。美国最大的一家军事医院中的一台不受保护的服务器暴露了军事人员和医学图像的名称。
但是即使在只有一个或少数医学图像的患者中,数据可用于推断一个人的健康状况,包括疾病和伤害。
许多患者扫描包括封面,其中包含烘焙到文件中的个人健康信息。(图像:提供)
为确保服务器的安全,Greenbone上个月就其暴露的服务器与一百多个组织进行了联系。随后,许多较小的组织都对其系统进行了安全保护,从而使曝光图像的总数略有下降。但是,当安全公司与10个最大的组织联系时,这10个最大的组织约占所有暴露的医学图像的五分之一,施拉德说“根本没有任何反应。”
Greenbone私下共享了该组织的名称。允许TechCrunch跟进每个医疗机构的组织,其中包括在纽约设有三家医院的医疗服务提供者,在佛罗里达州有十几个地点的放射科和位于加州的一家主要医院。(我们并没有命名受影响的组织来限制暴露患者数据的风险。)
只有一个组织保护其服务器的安全。根据Greenbone的数据,Alliance Radiology的合作伙伴Northeast Radiology在美国拥有最大的暴露医疗数据缓存,在其五个办事处的约120万患者身上拥有超过6,100万张图像。只有在Greenbone首次警告该风险暴露组织一个月之后,TechCrunch才对服务器进行了保护。
联盟发言人Tracy Weise拒绝置评。
Schrader说,如果其余受影响的组织如果将其暴露的系统从互联网上删除,则将有近6亿张图像从互联网上“消失”。
多年来一直对暴露的服务器发出警告的专家说,医疗实践没有什么借口。研究过医疗设备安全漏洞的安全研究人员伊斯洛尔·米尔斯基(Yisroel Mirsky)去年表示,设备制造商“很大程度上忽略了”创建并维护DICOM标准的标准机构规定的安全功能。
Schrader确实做到了不要怪设备制造商。相反,他说医生办公室未能正确配置和保护服务器是“纯粹的过失”。
美国卫生与公共服务部前高级隐私官员露西娅·萨维奇(Lucia Savage)表示,可以提高整个医疗保健行业的安全性,尤其是在缺乏资源的小型组织层面。
“如果数据是个人健康信息,则必须防止未经授权的访问,包括在网上找到它。她说:“与保护数字医疗信息一样,有责任锁定包含纸质医疗记录的文件室。”
医疗记录和个人健康数据受到美国法律的高度保护。《健康保险可移植性和责任法案》(HIPAA)制定了“安全规则”,其中包括旨在通过确保数据的私密性和安全性来保护电子个人健康信息的技术和物理保障措施。该法律还规定医疗保健提供者应对任何安全漏洞负责。违反法律可能会导致严厉的处罚。
“随着健康与公共服务部积极推动,使更多的当事人可以在没有传统隐私的情况下访问美国患者的敏感健康信息信息附带的保护措施,使HHS对这一特定事件的关注变得更加令人不安。”
Sen。马克·华纳(D-VA)
政府去年对一家位于田纳西州的医学成像公司处以300万美元的罚款,原因是该服务器无意中暴露了包含30万个受保护患者数据的服务器。
卫生和公众服务执行部门(民权办公室)最高隐私官员戴维·麦格劳(Deven McGraw)表示,如果较小的提供者可以获得更多安全援助,则政府可以将执法工作集中在故意忽略的提供者上他们的安全义务。
“政府执法非常重要,对资源匮乏的提供商和技术中内置的易于部署的解决方案的指导和支持也很重要。”McGraw说。“对于任何一家执法机构来说,要真正地削弱它可能都是一个太大的问题。”
由于暴露的医疗服务器的规模是在9月首次揭晓的,参议员马克·沃纳(Mark Warner)(D-弗吉尼亚州)要求卫生与公共服务部答复。华纳承认,美国的公开服务器数量有所减少,其中16台服务器存储了3,100万张图像,但他告诉TechCrunch,“还需要做更多的工作。”
“据我所知,卫生与公共服务已经没有做任何事情,”华纳告诉TechCrunch。他补充说:“由于健康与公共服务部积极推动允许更多的团体访问美国患者的敏感健康信息,而该信息并未附加传统的隐私保护,因此,HHS对这一特殊事件的关注变得更加令人不安,”他补充说。
卫生与公共服务公民权利办公室表示,它不对个别案件发布评论,但为其执法行动辩护。
“OCR过去已采取执法行动来解决与发言人说。
“我们将继续尽最大努力改善无保护系统的全球状况,”Schrader说。但是他说,除了警告组织暴露的服务器外,他还有很多事情要做。
“那么,这对监管机构来说是个问题。”
NHS传呼机正在泄漏医疗数据