Araştırmacılar, tıbbi ekipmanlarda eski bir protokolün kullanılması nedeniyle son birkaç on yılda yaklaşık 60 milyon kişisel ve tıbbi kaydın açığa çıkmış olabileceğini söylüyor.
Aplite araştırmacıları, küresel olarak çoğu radyoloji, kardiyoloji görüntüleme ve radyoterapi ortamında uygulanan tıbbi görüntüleme transferleri için uluslararası kabul görmüş bir standart olan Tıpta Dijital Görüntüleme ve İletişim (DICOM) protokolünü inceledi. Aralık ayında Londra’da Black Hat Europe’da sunacakları “Milyonlarca Hasta Kaydı Risk Altında: Eski Protokollerin Tehlikeleri” başlıklı araştırmaya göre, protokol kullanıcılarının genellikle güvenlik kontrollerini kullanmadığını tespit ettiler.
Aplite kıdemli BT güvenlik danışmanları Sina Yazdanmehr ve İbrahim Akkulak, internette erişilebilen DICOM protokolünü kullanan 3.800’den fazla sunucunun tespit edildiğini ve bunların %30’unun hassas veriler sızdırdığını tespit etti.
Araştırmacılar, DICOM protokolünün TLS entegrasyonu ve kullanıcı kimliği gibi güvenlik önlemlerini içerdiğini ancak çoğu satıcının bunları çeşitli nedenlerden dolayı uygulamadığını açıkladı. Bunlar arasında güvenlik risklerine ilişkin farkındalık eksikliği; donanımın güvenlik önlemleri mevcut olmadan geliştirilmesi; bu da yükseltmeleri karmaşık ve zaman alıcı hale getirir (ve belki de mümkün bile değildir); ve bazı satıcılar genellikle erişim kontrolü ve sertifikalar gibi güvenlik önlemlerini uygulamak için gereken BT altyapısına sahip olmayan daha küçük kuruluşları hedef alıyor.
“TLS sertifikalarını yönetmek karmaşıktır. Güvenli olmayan, kendinden imzalı sertifikalara başvurmayı önlemek için önemli düzeyde uzmanlık ve kaynak gerektirir.” Yazdanmehr diyor. Ayrıca güvenlik önlemlerinin hiçbirinin zorunlu olmadığını, dolayısıyla düzenleyici yönetişim eksikliğinin güvensizliğin başka bir nedeni olarak görülebileceğini iddia ediyor.
Protokolün en son versiyonunun 30 yıl önce, 1993’te tanıtıldığı, orijinalinin 1985’te ve revize edilmiş baskısının 1988’de yayınlandığı göz önüne alındığında belki de güvenlik açıkları beklenebilir. Yazdanmehr, 2021’de bazı güncellemeler olduğunu söylüyor, ” ancak görmek istediğimiz güvenlik iyileştirmeleri açısından değil.”
Görüntüleme Makinesine Maruz Kalmak Milyonlarca Hastayı Etkiliyor
Araştırmacılar, 30 yıl boyunca “isimler, adresler, doğum tarihleri, cinsiyet gibi kişisel bilgiler de dahil olmak üzere” 59 milyon kaydın görünür olabileceğini ve bazı durumlarda bu kişilerin Sosyal Güvenlik numaralarını bile görebileceğimizi tahmin ettiklerini söylüyor. “
Ayrıca bazı vakalarda MRI, röntgen veya CT tarama sonuçları gibi muayene sonuçlarının yanı sıra muayene tarihi ve saatini gösteren tıbbi kayıtların da bulunduğunu söylüyorlar.
Yazdanmehr, görüştükleri makinelerin satıcılarının sorunların farkında olduğunu ancak riskin ne kadar büyük olduğundan ve veri sızıntısının hacminden habersiz olduklarını söylüyor.
Cihazların birbirleriyle konuşabilmesi ve veri alışverişinde bulunabilmesi gerektiğini ancak elektronik kayıtların güvenli bir şekilde taşınmasının zincirdeki her bağlantının güvenli ve güncel olmasını gerektirdiğini ve ekipman ve tıbbi cihazların çoğunluğunun gelişmiş ve gelişmiş teknolojileri destekleyebildiğini belirtiyor. Güvenlik önlemleri karmaşıksa sorun yaşanacaktır.
Araştırmacılar güvenlik sorunlarıyla ilgili bir tavsiye belgesi yayınladılar ve kullanıcıların, bir DICOM sunucusunu uzaktan erişime açmaya ve mümkünse iletişimleri dahili tutmaya gerçekten ihtiyaç olup olmadığını değerlendirmelerini öneriyorlar.
DICOM: Bizim Tarafımızda Güvenlik Sorunu Yok
DICOM sözcüsü yaptığı açıklamada, DICOM’un üreticilerin kullanmayı tercih ettiği standart bir protokol olduğunu ve hangi güvenlik mekanizmalarının kendi ortamları için uygun olduğuna nihai olarak karar verecek olanların satıcılar ve sağlık hizmetleri sunan kuruluşlar olduğunu söyledi.
Bu nedenle, DICOM’da neredeyse yirmi yıldır belirtilen bir “Güvenli Bağlantı özelliği”nin bulunduğuna ve bunun Ulusal Konseyin tavsiyelerini yansıtacak şekilde düzenli olarak güncellendiğine dikkat çekilen açıklamaya göre, DICOM standardı doğası gereği bir güvenlik riski teşkil etmiyor. Standartlar ve Teknoloji Enstitüsü (NIST) ve diğer uluslararası standart belirleme kuruluşları.
Açıklamaya göre “DICOM standardını uygulayan sistemlerin uygulanması, dağıtımı, satın alınması, bakımı ve yapılandırılması, ürün satıcılarının ve onların müşterilerinin sorumluluğundadır.” Ayrıca, yazılımın sağlanması ve sürdürülmesi de satıcıların sorumluluğundadır. Kısacası uygun güvenlik, cihaz üreticileri ve sağlık kuruluşları arasında ortak bir sorumluluktur. Bunun yalnızca bir standardın sorumluluğunda olduğunu iddia etmek yanlıştır.”
Araştırmacılar bu görüşe katıldıklarını söylüyor beyanı ve Black Hat Avrupa’daki sunumun veri sızıntısı sorununa ilişkin alarmın çalınmasına yardımcı olacağını umuyorlar.
Yazdanmehr, “Umarım farkındalığı artırabiliriz, daha iyi hale getirebiliriz, sayı azalır ve daha fazla tedarikçi ve hastane altyapısını güçlendirmeye başlar” diyor. “Fakat bunun uzun bir yolculuk olacağını düşünüyorum.”