Halka açık ağa maruz kalan tıbbi görüntü depolama sistemlerinin analizi, 52 ülkedeki yaklaşık 600 sunucunun yetkisiz erişime karşı tamamen korumasız olduğunu ortaya koydu. Türkiye’den sızan veri sayısı yaklaşık 5 milyon.
Denetlenen sistemler, binlerce güvenlik açığına karşı eşleştirildi, bunlardan 500’den fazlası en yüksek önem derecesine sahipti.
Endişe verici
Alman merkezli bir güvenlik açığı analiz ve yönetim şirketi olan Greenbone Networks, halka açık internete bağlı yaklaşık 2.300 Görüntü Arşivleme ve İletişim Sistemine (PACS-Picture Archiving and Communication System ) baktı ve gizli bilgileri ortaya çıkaran önemli sorunlar buldu.
PACS sağlık sektöründe X-Ray, CT veya MRI makineleri gibi görüntüleme cihazlarından alınan tıbbi bilgilerin depolanması ve sunulması için kullanılır. Tıbbi görüntüleme verilerini iletmek, saklamak, almak, yazdırmak, işlemek ve görüntülemek için DICOM-Digital Imaging and Communications in Medicine (Tıpta Dijital Görüntüleme ve İletişim) standardını kullanırlar.
Greenbone Networks, Temmuz ayının ortasından eylül ayının ortasına kadar halka açık cihaz keşif motorlarını kullanarak, internet üzerinden erişilebilecek ve yaklaşık 24,3 milyon hasta kaydı almayı sağlayan 590 PACS sunucusu belirledi.
Çoğu kayıt aşağıdaki kişisel ve tıbbi bilgileri içeriyordu:
- Adınız ve soyadınız
- Doğum tarihi
- Muayene tarihi
- Tetkik Kapsamı
- Görüntüleme prosedürünün türü
- Hekim Bilgisi
- Enstitü / klinik
- Oluşturulan görüntü sayısı
Saldırganlar bu bilgiyi daha verimli sosyal mühendislik ve finansal hedefleri olan phishing saldırıları yapmak için kullanabilirler.
Araştırmacılar, verileri dünyadaki açık PACS sunucularından çekmek için bir RadiAnt DICOM Viewer kurdular. Tahmini 733,5 milyon görüntüden sadece 399,5 milyonu indirilebilir ve izlenebilir.
Avrupa’da, İtalya etkilenen en yüksek sistem sayısına sahiptir ve ayrıca en fazla sızan tıbbi bilgiye sahip ülkedir.
Kuzey Amerika’daki en yüksek korunmasız PACS konsantrasyonu ABD’dedir.
Bu aynı zamanda en fazla açık veri seti, 13,7 milyon ve beraberindeki tıbbi görüntülere, 300 milyondan fazla ve maruz kalan makinelere sahip ülkedir: 187.
Brezilya 640.000 veri seti, 31.1 milyon görüntü ve 34 sızıntı sunucusu ile Güney Amerika’da lider konumda.
Asya’da, en büyük açık makine sayısı Hindistan’dadır ancak Türkiye, veri kayıtlarının sayısı (4,9 milyon) ve bunlarla ilişkili tıbbi görüntüler (4,9 milyon) söz konusu olduğunda liderlik etmektedir.
Hindistan’da 100’e yakın korumasız PACS ve 105 milyondan fazla görüntü ile 627.000 kayıt bulunmaktadır.
10.000+ güvenlik açığı tespit edildi
Rapor denetlenen sistemlerin % 20’sinin yüksek şiddet skoru ile etiketlenmiş olan olan 10.000’den fazla güvenlik sorunlarına sahip olduğunu ortaya koymaktadır.
Bunlardan 500 tanesi Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) en yüksek not olan tüm koşulları 10 üzerinden 10 ile karşıladı.
Araştırmacılar, tespit edilen güvenlik açıklarından bazılarının birkaç yıllık olduğunu, ancak kamu raporunda ek ayrıntılar sunmadıklarına dikkat çekti. Yetkili kuruluşlar için 300 MB boyutunda daha büyük bir sürüm mevcuttur.
Bu sorunların dışında, denetim 45 PACS’nin DICOM yerine HTTP veya FTP gibi güvensiz bir protokol üzerinden veri sağladığını keşfetti. Böylece, bunlar üzerinde depolanan verilere kimlik doğrulama yapılmadan erişilebilir.
Bunlardan biri, DICOM arşivindeki dosyaları, bir web tarayıcısı üzerinden herkese erişime izin veren bir dizin listesinde mevcuttu.
Bu tür verilerin açığa çıkarılmasıyla ilgili riskler açıktır. En belirginleri arasında hedefli saldırılar, gasp girişimleri ve hatta tıbbi tedavi veya sağlık sigortası dolandırıcılığı elde etmek için tıbbi kimlik hırsızlığı vardır.
ABD’deki Sağlık ve İnsan Hizmetleri Bakanlığı’nın (Department of Health and Human Services -HHS) Nisan’daki bir raporu , karanlık ağdaki sağlık kayıtlarının ortalama değerinin 250 $ olduğunu, ancak 1000 dolar kadar yükselebileceğini ve siber suçluların bu bilgilerle kesinlikle ilgilendiğini söylüyor.
