¿Están seguros los datos médicos?

 

Vivimos en una época donde las filtraciones de datos son una preocupación constante. Facebook, sitios de citas, incluso plataformas de videojuegos: ha habido innumerables filtraciones donde los datos personales se hacen accesibles a través de una brecha de seguridad. ¿Pero puedes imaginar algo más personal que tus datos médicos? Probablemente no. Pero eso es exactamente lo que sucedió cuando se descubrieron millones de servidores de salud comprometidos.

 

El problema fue descubierto por ProPublica en una investigación que hicieron en conjunto con Greenbone Networks, una compañía de seguridad, y Bayerischer Rundfunk, una red de transmisión alemana. Descubrieron que podían ver las imágenes médicas como imágenes de resonancia magnética y Rayos X de millones de pacientes en todo el mundo. Ni siquiera era necesario poder codificar; en algunos casos, todo lo que se necesitaba era un navegador estándar y saber dónde buscar. Lo peor es el hecho de que, según un informe de Greenbone Networks, los nombres de los pacientes, la fecha de nacimiento y cierta información sobre el motivo del examen médico se publicaron junto con las imágenes. Echemos un vistazo a cómo se pudo acceder a estos datos y cómo se pudo haber evitado este problema.

 

Anteriormente he escrito sobre la arquitectura de TI en la atención médica, incluido el Sistema de Archivo y Comunicación de Imágenes (PACS). Para resumir aquí: los dispositivos de imágenes médicas (llamadas modalidades) almacenan las imágenes que llevan a PACS, que es esencialmente un sistema de almacenamiento. El protocolo Digital Imaging and Communications in Medicine (DICOM) se utiliza para almacenar estas imágenes y recuperarlas del PACS.

 

El problema es que, como en cualquier otro entorno de TI (y esto va a sonar realmente obvio), los servidores PACS que no están protegidos adecuadamente son vulnerables. Y esa es la esencia de este problema. Greenbone realizó un análisis global para encontrar servidores PACS accesibles. Cuando encontraron servidores accesibles, intentaron recuperar imágenes de pacientes utilizando el protocolo DICOM. ¿Y adivina qué? Pudieron acceder a muchas imágenes.

 

Esto es lo que escribieron en su sitio Web al respecto: “En total, desenterramos más de 24 millones de registros que, combinados, se vincularon a más de 700 millones de imágenes. De estos escaneos, 400 millones fueron realmente descargables. Estos sistemas desprotegidos se encuentran en 52 países de todo el mundo. Además de la “apertura” general de los sistemas, también tienen miles de vulnerabilidades “reales”, es decir, versiones obsoletas de servidores Web e instancias de bases de datos vulnerables. En algunos casos, los servidores PACS incluso permiten ver los datos e imágenes de los pacientes a través de http y un navegador Web”.

 

No hay duda de que lo que Greenbone encontró fue alarmante, pero también debería verse en el contexto de una imagen más grande. Los titulares gritaban que “millones” de imágenes eran de acceso público, lo cual es cierto, pero esta cifra es en realidad la estadística más sensacional de todo el estudio. Veamos los resultados para Estados Unidos: pudieron acceder a 303,1 millones de imágenes. Eso es mucho. Pero estas 303.1 millones de imágenes estaban en solo 187 servidores expuestos. Eso es 187 de un potencial de decenas de miles de servidores.

 

Es importante tener en cuenta que el problema no es con PACS o DICOM; más bien, la falla radica en las malas prácticas de seguridad en la seguridad de los servidores. En muchos casos, los servidores se hicieron accesibles a propósito para que los médicos y entidades externas pudieran acceder fácilmente a los datos del paciente de forma remota. Pero hay varias maneras en que esto podría haberse evitado. He aquí algunas posibilidades.

 

Use una VPN: si necesita acceder a la fecha del paciente de forma remota, configure el acceso VPN en lugar de hacer que el servidor esté disponible de otras maneras. Aplicar filtros de título de entidad de aplicación (AET): en DICOM, las aplicaciones se pueden configurar con un título que lo identifica. De esta manera, puede configurar el PACS para que sólo acepte solicitudes de entidades de aplicación con títulos específicos. Aplique listas de control de acceso para filtrar solicitudes de puertos y direcciones IP específicas. Utilice WADO-RS: este servicio forma parte de la familia DICOM RESTful y está basado en HTTPS. También le permite consultar estudios DICOM, en lugar de cada imagen individualmente.

 

Revise sus PACS con PRTG

Si desea verificar si su servidor PACS es de acceso público o no, puede usar los sensores DICOM de PRTG Network Monitor de Paessler. Ahora, sé que estoy asumiendo que los profesionales de TI podrían no conocer el estado de sus servidores, pero recuerde: ¡hay una razón por la cual todos esos servidores son accesibles en primer lugar! Entonces, por si acaso, aquí hay una idea de cómo usar PRTG para monitorear continuamente la disponibilidad de sus PACS.

 

En PRTG, configure el sensor DICOM C-ECHO para monitorear la IP pública de sus PACS. Lo que esto hace es enviar solicitudes regulares de C-ECHO al servidor, y luego verifica si recibe una respuesta (algo así como Ping). Si recibe una respuesta, el estado es verde. Sin embargo, en este caso, obtener un estado verde es malo, ¡porque eso significa que su PACS está recibiendo la solicitud de C-ECHO y está respondiendo a ella! Entonces, aquí querrá establecer una especie de notificación inversa: si el sensor es verde, envíe una alerta.

 

Además, también puede usar el sensor de consulta / recuperación DICOM para verificar si es posible acceder a los estudios a través de la IP pública del PACS.

 

David Montoya, Director Regional de Paessler América

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *