Kunt u zich persoonlijkere gegevens voorstellen dan uw medische gegevens? Waarschijnlijk niet. Naast tekstbestanden gaat het ook om medische afbeeldingen, opgeslagen in een PACS (Picture Archiving and Communications System). Precies díe gegevens werden recentelijk blootgesteld toen ProPublica miljoenen gecompromitteerde servers van gezondheidsinstellingen aantrof.
De onderzoeksjournalisten van ProPublica ontdekten het probleem tijdens een onderzoek dat ze deden naar PACS-servers in samenwerking met Greenbone Networks, een beveiligingsbedrijf, en Bayerische Rundfunk, een Duits omroepnetwerk. Ze ontdekten dat ze de medische beelden – zoals MRI’s en röntgenfoto’s – van miljoenen patiënten wereldwijd konden bekijken. Ze hoefden er niet eens voor te kunnen coderen; als ze wisten waar ze moesten zoeken, hadden ze in sommige gevallen alleen een standaardbrowser nodig. Tot overmaat van ramp waren bij de beelden ook de namen van de patiënten, hun geboortedata en informatie over de reden voor het medisch onderzoek zichtbaar.
Hoe was dit mogelijk?
De omvang van het probleem
Medische beeldvormende apparaten, zoals MRI-scans, slaan de beelden die ze maken op in een PACS, in wezen een opslagsysteem. Om deze beelden op te slaan en weer op te halen, wordt gebruikt gemaakt van het Digital Imaging and Communications in Medicine (DICOM)-protocol.
Net als in elke andere IT-omgeving – en dit gaat heel vanzelfsprekend klinken – zijn PACS-servers die niet goed beveiligd zijn heel kwetsbaar. En dat is de kern van deze kwestie. Greenbone heeft een wereldwijde scan uitgevoerd om toegankelijke PACS servers te vinden. Toen ze toegankelijke servers vonden, probeerden ze patiëntafbeeldingen op te halen met behulp van het DICOM-protocol. En raad eens? Ze konden toegang krijgen tot veel afbeeldingen.
Dit is wat ze over PACS op hun website schreven:
“In totaal hebben we meer dan 24 miljoen dossiers gevonden waaraan meer dan 700 miljoen afbeeldingen gekoppeld waren. Van deze scans waren 400 miljoen daadwerkelijk te downloaden. Deze onbeschermde systemen bevinden zich in 52 landen over de hele wereld. Naast de algemene “openheid” van de systemen, hebben ze ook duizenden “echte” kwetsbaarheden, zoals verouderde webserverversies en kwetsbare database-instanties. In sommige gevallen laten de servers van de PACS zelfs patiëntgegevens en afbeeldingen toe via http en een webbrowser.”
Hoe zijn dit soort situaties te voorkomen?
Belangrijk om te noemen is dat het probleem niet bij PACS of DICOM ligt, maar aan slechte beveiligingsmethoden bij het beveiligen van de servers. In veel gevallen werden de servers met opzet toegankelijk gemaakt, zodat artsen en externe entiteiten gemakkelijk op afstand toegang konden krijgen tot de patiëntgegevens. Er zijn verschillende manieren om dit te voorkomen, waardoor u ook de Autoriteit Persoonsgegevens tevreden houdt. Een aantal mogelijkheden:
- Gebruik een VPN: als u op afstand toegang wilt hebben tot de patiëntdata, stel dan VPN-toegang in in plaats van de server op andere manieren beschikbaar te maken.
- Pas Application Entity Title (AET)-filters toe: in DICOM kunnen applicaties worden geconfigureerd met een titel die deze identificeert. Op deze manier kunt u de PACS configureren om alleen aanvragen van toepassingsentiteiten met specifieke titels te accepteren.
- Pas toegangscontrolelijsten toe om verzoeken voor specifieke IP-adressen en poorten te filteren.
- Gebruik WADO-RS: deze service maakt deel uit van de DICOM RESTful-familie en is gebaseerd op HTTPS. Hiermee kunt u ook DICOM-onderzoeken opvragen, in plaats van elke afbeelding afzonderlijk.
- Controleer uw PACS server met een monitoringtool.
- Controleer regelmatig wie welk dossier raadpleegt.
- Stel altijd tweestapsverificatie in, waarbij je de identiteit van gebruikers koppelt aan een wachtwoord en bijvoorbeeld een personeelspas.
Wellicht dat u en ik hierna onze gegevens weer durven toe te vertrouwen aan de medische instanties.