45M images médicales accessibles en ligne
Table des matières
Plus de 45 millions d'images médicales accessibles en ligne
CybelAngel identifie les dispositifs médicaux et les portails web qui divulguent des images non protégées y compris les radiographies et les tomodensitogrammes
PARIS et NEW YORK, le 15 décembre 2020 - L'équipe d'analystes de CybelAngel, leader mondial de la protection contre les risques numériques, a découvert que plus de 45 millions de fichiers d'imagerie médicale - y compris des radiographies et des tomodensitogrammes - sont librement accessibles sur des serveurs non protégés, dans un nouveau rapport de recherche publié aujourd'hui. Ce rapport "Exposition du corps entier"est le résultat d'une enquête de six mois sur le stockage en réseau (NAS) et l'imagerie numérique et les communications en médecine (DICOM), la norme de facto utilisée par les professionnels de la santé pour envoyer et recevoir des données médicales. Les analystes ont découvert que des millions d'images sensibles, y compris des informations médicales personnelles (PHI), étaient disponibles en clair et sans protection par mot de passe. Les outils de CybelAngel ont analysé environ 4,3 milliards d'adresses IP et détecté plus de 45 millions d'images médicales uniques exposées sur plus de 2 140 serveurs non protégés dans 67 pays, dont les États-Unis, le Royaume-Uni, la France et l'Allemagne. Les analystes ont constaté que des images médicales librement accessibles, comprenant jusqu'à 200 lignes de métadonnées par enregistrement, dont des IPI (informations personnelles identifiables ; nom, date de naissance, adresse, etc.) et des ISP (taille, poids, diagnostic, etc.), pouvaient être consultées sans qu'un nom d'utilisateur ou un mot de passe soit nécessaire. Dans certains cas, les portails de connexion acceptaient des noms d'utilisateur et des mots de passe vierges. "Le fait que nous n'ayons pas utilisé d'outils de piratage tout au long de notre recherche souligne la facilité avec laquelle nous avons pu découvrir et accéder à ces fichiers", déclare David Sygula, analyste principal en cybersécurité chez CybelAngel et auteur du rapport. "Cette découverte est inquiétante et prouve que des processus de sécurité plus stricts doivent être mis en place pour protéger la façon dont les données médicales sensibles sont partagées et stockées par les professionnels de la santé. Il est impératif de trouver un équilibre entre la sécurité et l'accessibilité pour éviter que des fuites ne se transforment en violation majeure de données." Todd Carroll, CISO de CybelAngel, a ajouté : "Les centres médicaux travaillent avec un vaste réseau interconnecté de fournisseurs tiers et le cloud est une plateforme essentielle pour le partage et le stockage des données. Cependant, les lacunes en matière de sécurité, comme celle-ci, présentent un risque énorme, à la fois pour les personnes dont les données sont compromises et pour les établissements de soins de santé qui sont régis par des réglementations visant à protéger les données des patients. Le secteur de la santé a été confronté à des défis sans précédent cette année, mais la sécurité et la confidentialité des dossiers les plus personnels de leurs patients doivent être protégées, afin d'éviter que des données hautement confidentielles ne tombent entre de mauvaises mains". Le rapport met en évidence les risques de sécurité liés aux images accessibles au public et contenant des informations très personnelles, notamment les ransomwares et le chantage. La fraude constitue un risque particulier, car ce type d'images est très prisé sur le dark web. Du point de vue de la conformité, les prestataires de soins de santé sont également passibles de sanctions en vertu de réglementations telles que le GDPR en Europe et l'HIPAA aux États-Unis, en cas de violation d'informations sensibles sur les patients. CybelAngel conseille aux établissements de santé de prendre des mesures simples pour protéger la manière dont ils partagent et stockent les données :
- Déterminez si la réponse à la pandémie dépasse vos politiques de sécurité : Les appareils NAS ad hoc, les applications de partage de fichiers et les sous-traitants peuvent s'emparer de données au-delà de votre capacité à mettre en œuvre des contrôles d'accès.
- Veiller à la bonne segmentation du réseau des équipements d'imagerie médicale connectés : Réduire au minimum l'exposition des équipements de diagnostic critiques et des systèmes d'appui à des réseaux commerciaux ou publics plus vastes.
- Procéder à un audit en conditions réelles des partenaires tiers : Évaluer les parties qui ne sont pas gérées ou qui ne respectent pas les politiques et les protocoles requis.
- CybelAngel fournit gratuitement une évaluation complète de l'exposition aux données sur une période de 30 jours. que les organismes de santé et autres utilisent pour mesurer leurs risques et identifier les problèmes prioritaires.
Le rapport complet est disponible à l'adresse suivante ici. À propos de CybelAngel CybelAngel est une plateforme de gestion des risques numériques de premier plan qui fournit aux entreprises des informations exploitables sur les fuites de données à l'intérieur et à l'extérieur du pare-feu. CybelAngel permet une remédiation efficace et une posture de cybersécurité améliorée. En s'appuyant sur l'intelligence artificielle et des capacités éprouvées d'apprentissage automatique, il surveille, détecte et gère les risques numériques provenant de tiers et à travers toutes les couches d'Internet. Les organisations mondiales font confiance à CybelAngel pour protéger leur propriété intellectuelle, leur marque et leur réputation. Chaque jour, CybelAngel détecte des fuites de données que d'autres ne détectent pas.
À propos de l'auteur
