De nombreux organismes de réglementation ainsi que les gouvernements incitent les organisations à identifier les informations personnelles et les renseignements médicaux et à les traiter de façon sécurisée. La divulgation non autorisée de ces données pourrait entraîner des amendes et des pénalités importantes pour l'organisation. Toutefois, on assiste presque au quotidien à des situations ou des données personnelles ont été piratées ou expressément divulguées ; parfois contre forte récompense.
Plus récemment, ProPublica un média d’investigation et Bayerischer Rundfunk la télévision publique allemande annonce que des millions de données médicales, dont des images de radiologie ou des mammographies, ont été mises en ligne sans des mesures de protection élémentaires et sont accessibles à toute personne possédant des connaissances de base en informatique. L’annonce qui a été confirmée par les autorités allemandes révèle que plus de 5 millions de patients aux États-Unis et des millions d'autres dans le monde seront concernés. 187 serveurs (ordinateurs utilisés pour stocker et sauvegarder des données médicales) étaient non protégés par des mots de passe ou des mesures de sécurité élémentaire aux États-Unis.
Dans certains cas, un espion pourrait utiliser des logiciels libres, ou tout simplement un navigateur Web classique, pour afficher les images et les données privées. « Ce n'est même pas du piratage informatique. C'est tout simplement une porte ouverte », a déclaré Jackie Singh, chercheur en cybersécurité et directeur général du cabinet de conseil Spyglass Security. L’enquête a révélé que l'ampleur de l'exposition variait en fonction du fournisseur de soins de santé et du logiciel utilisé. Par exemple, le serveur de la société américaine MobilexUSA a affiché les noms de plus d'un million de patients, le tout en tapant une simple requête.
Alerté par ProPublica, MobilexUSA a renforcé sa sécurité la semaine dernière. La société effectue des radiographies mobiles et fournit des services d'imagerie aux maisons de retraite, hôpitaux de rééducation, agences de soins palliatifs et prisons. « Nous avons rapidement limité les vulnérabilités identifiées par ProPublica et immédiatement ouvert une enquête », a déclaré la société mère de MobilexUSA dans un communiqué.
L’office allemand de la sécurité informatique (BSI) déplore que des simples mesures de sécurité informatique n'aient pas été mises en place, mais ne dispose pas d'informations laissant penser que des données de patients ont été copiées avec une intention criminelle. Au total, des manquements de sécurité ont été identifiés dans près de 50 pays. Le BSI a informé les organisations partenaires dans 46 pays, indique l'autorité allemande.
Les experts disent qu'il est difficile de déterminer qui est responsable de l'échec de la protection de la confidentialité des images médicales. En vertu de la législation américaine, les prestataires de soins de santé et leurs partenaires commerciaux sont légalement responsables de la protection de la confidentialité des données des patients. Plusieurs experts ont déclaré qu'une telle exposition des données des patients pourrait violer la loi de 1996 sur la Transférabilité et la responsabilité en matière d'assurance-maladie (HIPAA), qui oblige les prestataires de soins de santé à préserver la confidentialité et la sécurité des données de santé des Américains.
Bien que ProPublica n'ait trouvé aucune preuve que les données des patients aient été copiées de ces systèmes pour être publiées ailleurs, les conséquences d'un accès non autorisé à de telles informations pourraient être dévastatrices. « Les dossiers médicaux sont importants en matière de confidentialité, car ils sont si sensibles. Ces informations médicales peuvent être utilisées pour faire honte aux gens, pour faire chanter des gens », a déclaré Cooper Quintin, chercheur en sécurité. « C'est tellement irresponsable », a-t-il ajouté. Doit-on penser que les mesures prises pour protéger les informations personnelles ne sont pas assez solides pour dissuader les entreprises ? Difficile d’y croire dans la mesure où les régulateurs et les gouvernements tentent de superviser l'utilisation de ces données.
Le problème de la confidentialité découlerait du passage de la technologie médicale à la technologie numérique. L'époque où les rayons X du film étaient affichés sur des panneaux de lumière fluorescente est révolue. Aujourd'hui, les études d'imagerie peuvent être instantanément téléchargées sur des serveurs et visualisées sur Internet par les médecins.
Comment savoir si mes données d'imagerie médicale sont sécurisées ?
Si vous êtes un patient : si vous avez passé un examen d'imagerie médicale (par exemple, rayons X, tomodensitométrie, IRM, échographie), demandez au prestataire de santé qui l'a effectué (ou à votre médecin) si l'accès à vos images nécessite un identifiant et mot de passe. Demandez à votre médecin si leur bureau ou le fournisseur d’imagerie médicale auquel ils renvoient les patients effectue une évaluation de sécurité régulière conformément aux exigences de la loi.
Si vous êtes un fournisseur d'imagerie médicale ou un cabinet de médecin : des chercheurs ont découvert que les serveurs de systèmes d’archivage d’images et de communication (PACS) mettant en œuvre la norme DICOM pouvaient être exposés s'ils étaient connectés directement à Internet sans VPN ni pare-feu ou si leur accès n’exigeait pas un mot de passe sécurisé. Vous devez-vous assurer que votre serveur PACS ne peut pas être accédé via Internet sans une connexion VPN et un mot de passe. Si vous connaissez l'adresse IP de votre serveur PACS, mais ne savez pas si elle est (ou a été) accessible via Internet, contactez un média d’investigation.
Source : ProPublica
Et vous ?
Qu'en pensez-vous ?
Savez-vous si vos données d'imagerie médicale sont sécurisées ?
Doit-on penser que les mesures prises pour protéger les informations personnelles ne sont pas assez solides pour dissuader les entreprises ?
Voir aussi :
Les violations de données ont exposé 2,8 milliards d'informations personnelles en 2018, selon ForgeRock
Equifax pourrait s'en tirer avec une amende de 700 M$, après la violation de données de 2017, et payer seulement 4 $ à chaque victime
Des millions de données médicales dont des images de radiologie ou de mammographies ont été mises en ligne
Sans mesures de protection élémentaires et sont accessibles à tous
Des millions de données médicales dont des images de radiologie ou de mammographies ont été mises en ligne
Sans mesures de protection élémentaires et sont accessibles à tous
Le , par Bruno
Une erreur dans cette actualité ? Signalez-nous-la !