Le fait que les serveurs utilisés dans le secteur de la santé pour archiver les images créées par les processus radiologiques soient vulnérables aux attaques ou soient accessibles sur Internet n'est plus une nouvelle information. De nombreux rapports ont traité de ce sujet dans le passé. Cependant, un récent rapport publié par Greenbone Networks, une société de sécurité allemande, montre que le problème associé aux serveurs PACS (Picture Archiving and Communication Systems) non sécurisés est aussi profond qu’on le croit. Selon le rapport, des millions de nouvelles images médicales contenant les renseignements personnels sur la santé des patients se répandent sur Internet, chaque jour dans le monde.
En effet, des centaines d'hôpitaux, de cabinets médicaux et de centres d'imagerie utilisent des systèmes de stockage non sécurisés, permettant à toute personne disposant d'une connexion Internet et d'un logiciel de téléchargement gratuit d'accéder à plus d'un milliard d'images médicales de patients à travers le monde. Cependant, malgré les avertissements des chercheurs en sécurité, qui ont alerté les hôpitaux et les cabinets médicaux sur le problème pendant plusieurs semaines, beaucoup d’entre eux ont ignoré leurs avertissements et continuent à exposer les informations médicales privées de leurs patients.
« Cela semble s'aggraver chaque jour », a déclaré Dirk Schrader, qui a dirigé les recherches de Greenbone Networks et qui surveille de nombreux serveurs exposés depuis un an. « La quantité de données exposées continue d'augmenter, même si l'on considère la quantité de données mises hors ligne en raison de nos divulgations », a ajouté M. Schrader. Le chercheur a averti que si les médecins ne prennent pas de mesures, le nombre d'images médicales exposées atteindra un nouveau sommet « en un rien de temps ».
Le problème des données exposées a été découvert l’an dernier, lorsque Greenbone Networks a réalisé une analyse d'environ 2 300 systèmes d'archivage d'images médicales connectés à l'Internet dans le monde entier, dont 590 ont été identifiés comme accessibles. La société a trouvé 24 millions d'examens de patients stockant plus de 720 millions d'images médicales en septembre, ce qui a permis de découvrir pour la première fois l'ampleur du problème de confidentialité et de sécurité de données de santé. Selon le rapport, deux mois plus tard, le nombre de serveurs exposés avait augmenté de plus de la moitié, pour atteindre 35 millions d'examens de patients, exposant 1,19 milliard de scans, représentant une violation considérable de la vie privée des patients.
Les images exposées, qui comprennent des radiographies, des échographies et des tomodensitogrammes, appartiennent à des patients de 52 pays dans le monde entier, dont la majorité pour les États-Unis. Au Royaume-Uni, environ 1 500 dossiers de données de patients sont accessibles au public, ainsi qu'environ 5 000 images associées à ces dossiers. Aux États-Unis, le nombre est d'un ordre de grandeur supérieur avec 13,7 millions d'ensembles de données et 45,8 millions d'images librement accessibles sur Internet. Selon le rapport, une estimation dérivée d'attaques précédentes et d'enquêtes menées par diverses autorités de sécurité, la valeur de ces données sur le Darknet dépasserait probablement le milliard de dollars US.
De mauvaises pratiques en matière de sécurité informatique sur les serveurs de nombreux cabinets médicaux sont à l’origine du problème
Selon le rapport, le problème est causé par une faiblesse commune que l'on retrouve sur les serveurs utilisés par les hôpitaux, les cabinets de médecins et les centres de radiologie pour stocker les images médicales des patients. DICOM (Digital Imaging and Communications in Medicine), un format de fichier et une norme industrielle datant de plusieurs décennies, est utilisé pour stocker des images médicales dans un seul fichier dans un système d'archivage et de communication d'images, connu sous le nom de serveur PACS, ce qui permet un stockage et un partage faciles.
Le problème est que de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité et connectent leur serveur PACS directement à Internet sans mot de passe, dans une violation flagrante de la confidentialité des données de santé. Aussi, DICOM comprend une définition du format de fichier et un protocole de communication en réseau, et les images DICOM peuvent être visualisées à l'aide de n'importe quelle application gratuite, comme le ferait n'importe quel radiologue, ont dit les chercheurs.
En plus de l’exposition d’imageries médicales, les serveurs non protégés ont également divulgué d’autres renseignements personnels sur les patients. L’analyse des 24,3 millions d'enregistrements a permis aux chercheurs de déterminer que la majorité d’entre eux était associée aux informations privées telles que : prénom et nom de famille, date de naissance, date de l'examen, type de procédure d'imagerie, Institut/clinique où le patient est suivi, nombre d'images générées. Dans certains cas, les hôpitaux utilisent le numéro de sécurité sociale d'un patient pour identifier les patients dans ces systèmes, d’après le rapport.
Cette fuite de données mondiale affecte les réglementations de protection des données en Europe (GDPR) ainsi que la HIPAA (Health Insurance Portability and Accountability Act) aux Etats-Unis, et toute une série de réglementations légales dans d'autres pays. Par exemple, pour la République d'Afrique du Sud, la Loi sur la protection des renseignements personnels (POPI Act) ; pour le Brésil, le LGPD ; pour l'Inde, les règles de confidentialité des données (Information Technology Act 2000) et la Turquie, la Loi sur la protection des données personnelles no. 6698.
Selon le rapport, certains des plus grands hôpitaux et centres d'imagerie aux États-Unis sont les plus grands coupables de l'exposition de données médicales. Les données exposées mettent les patients en danger de devenir « des victimes parfaites pour la fraude à l'assurance médicale », a dit M. Schrader. Dans le cadre de leur enquête, les chercheurs ont découvert un certain nombre de centres d'imagerie américains qui stockent des décennies de scans de patients, pendant que, les patients ne savent même pas qu’une petite partie de leurs données pourrait être exposées sur Internet pour que quiconque puisse les trouver.
Le problème persiste, car les grandes organisations ignorent l’avertissement d’exposition des données et refusent de sécuriser leurs systèmes informatiques
Après la découverte du problème de sécurité, Greenbone, dans un effort de sécurisation des serveurs accessibles sur Internet, a contacté plus d'une centaine d'organisations le mois dernier au sujet de leurs serveurs exposés. Mais, seulement les plus petites organisations ont répondu et sécurisé leurs systèmes, entrainant une légère baisse du nombre total d'images exposées. Par contre, parmi les 10 plus grandes organisations contactées, qui représentaient environ une image médicale exposée sur cinq, une seule organisation, avec plus de 61 millions d'images sur environ 1,2 million de patients dans ses cinq bureaux, a sécurisé ses serveurs.
Dans son analyse, la société de sécurité a déterminé sur les systèmes vérifiés que des vulnérabilités, dont certaines datent de plusieurs années, ont été identifiées. Selon le rapport, au total, Greenbone a identifié plus de 10 000 vulnérabilités sur les systèmes. Un peu plus de 2 000 d’entre elles sont cataloguées comme "haute gravité" et cette catégorie comprend plus de 500 vulnérabilités avec la gravité de score CVSS 10.0.
Yisroel Mirsky, un chercheur en sécurité, qui a étudié les vulnérabilités des équipements médicaux, a déclaré l'année dernière que les caractéristiques de sécurité établies par l'organisme de normalisation qui a créé et maintient la norme DICOM ont été "largement ignorées" par les fabricants d'appareils. Cependant, M. Schrader n'a pas blâmé les fabricants d'appareils. Au contraire, il a dit que c'était une "pure négligence" que les cabinets médicaux n'aient pas réussi à configurer et à sécuriser correctement leurs serveurs.
Selon le rapport, le gouvernement a condamné une société d'imagerie médicale du Tennessee à une amende de 3 millions de dollars, l'an dernier, pour avoir exposé par inadvertance un serveur contenant plus de 300 000 données protégées sur des patients, en vertu de la loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) – qui comprend des mesures de protection techniques et physiques conçues pour protéger les informations médicales personnelles électroniques en veillant à ce que les données restent privées et sécurisées.
Depuis que Greenbone a révélé l'ampleur des serveurs médicaux exposés pour la première fois en septembre, le sénateur Mark Warner a demandé des réponses aux services de santé et aux services sociaux. M. Warner a reconnu que le nombre de serveurs exposés aux États-Unis avait diminué, mais il a dit dans un communiqué qu'il fallait « faire plus ».
« A ma connaissance, les services de santé et les services sociaux n'ont rien fait à ce sujet », a déclaré M. Warner. « Alors que les services de santé et les services sociaux font pression pour permettre à un plus grand nombre de parties d'avoir accès aux informations médicales sensibles des patients américains sans les protections traditionnelles de la vie privée attachées à ces informations, l'inattention du HHS (Département de Santé et des Services sociaux des Etats-Unis) à cet incident particulier devient encore plus troublante », a-t-il ajouté.
Le dirigeant des recherches a dit qu’il ne blâmait pas les fournisseurs, mais les médecins et les hôpitaux qui ne sécurisent pas correctement le logiciel. Cependant, selon un commentateur du sujet, qui se présente comme ayant de l’expérience dans le domaine de la santé, peu de cabinets gèrent leurs propres systèmes informatiques. « Ils paient une tierce partie - généralement le fournisseur - pour installer, configurer et les guider ». Les responsabilités devraient donc être partagées.
Source : Rapport sur la sécurité de l'information
Et vous ?
Qu’en pensez-vous ?
Que pensez-vous de l’ampleur des serveurs laissés sans aucune protection sur Internet ?
Les chercheurs blâment les cabinets médicaux au lieu des fabricants d’équipements médicaux qui ne respectent pas les caractéristiques de sécurité établies par l'organisme de normalisation. Quel commentaire en faites-vous ?
Selon vous, pourquoi des structures médicales ne répondent-elles pas aux alertes de sécurité des données de leur propre établissement ?
Lire aussi
Des millions de données médicales dont des images de radiologie ou de mammographies ont été mises en ligne, sans mesures de protection élémentaires et sont accessibles à tous
France : IBM obtient la certification d'hébergeur de données de santé (HDS), qui atteste que l'entreprise respecte à la fois la confidentialité, l'intégrité et la disponibilité des données des clients
Singapour : la séropositivité de plus de 14 000 personnes a été divulguée en ligne, avec leurs noms, contacts et autres informations d'identification
Suède : 2,7 millions d'enregistrements d'appels médicaux au format mp3 exposés sur internet, sur un serveur web non sécurisé
Un milliard d'images médicales sont exposées en ligne,
Car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité
Un milliard d'images médicales sont exposées en ligne,
Car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !