自Greenbone Networks报道医学图像在不安全的图片存档和通信系统（PACS）上的大量曝光以来，已有60天了。在德国的漏洞分析和管理平台提供商的最新报告中，该问题正在恶化。

图片存档和通信系统（PACS）服务器已被医疗保健提供商广泛使用，用于存档医学图像并与医生共享这些图像以供检查，但是许多医疗保健提供商并未确保其PACS服务器具有适当的安全性。因此，医学图像（X射线，MRI，CT扫描）以及个人可识别的患者信息正通过Internet公开。任何知道在哪里查找以及如何搜索文件的人都可以找到它们，查看它们，并且在许多情况下，无需任何身份验证即可下载图像。由于软件漏洞，无法访问图像。由于基础架构和PACS服务器的配置错误，因此可能进行数据访问。

在2019年7月至2019年9月之间，Greenbone Networks进行了分析以识别全球范围内不安全的PACS服务器。该研究揭示了问题的严重性。在美国，在不安全的PACS服务器上发现了1,370万个数据集，其中包括3.031亿个医学图像，其中4,580万个可访问。当时在媒体上广泛报道了这一发现，现在已经发布了有关问题规模的更多信息。

11月18日，星期一，Greenbone Networks发布了一份更新的报告，该报告显示，全球范围内已识别出11.9亿张医学图像，比之前的7.37亿张图像增加了60％。在线进行3500万次体检的结果高于2400万项。

在美国，研究人员发现了2180万笔医学检查和7.86亿张医学图像。这些映像中有114.5个是可访问的，并且有15个系统允许不受保护的Web / FTP访问和目录列表。仅在一个PACS中，研究人员就发现了120万次检查和6100万张医学图像。研究人员可以完全访问数据，其中包括图像和相关的个人身份信息。Greenbone Networks已确认，在发布最新报告之前的24小时内，仍可以进行数据访问。“对于我们所审查的大多数系统，我们已经并且仍然能够继续访问个人健康信息，”格林博恩网络CMS的Dirk Schrader解释说。

PACS服务器上暴露的医学图像。资料来源：Greenbone Networks

11月初，参议员马克。华纳（R. Warner）写信给HHS的民权办公室主任罗杰·塞韦里诺（Roger Severino），他对OCR对于暴露的文件显然缺乏行动表示关切。在宣布有关公开数据后情况没有改善的情况下，似乎几乎没有做任何事情来保护PACS服务器并停止进一步的数据公开。

图像中的信息类型在HIPAA下被归类为受保护的健康信息 （PHI），包括姓名，出生日期，检查日期，调查范围，所执行的成像程序，主治医生的姓名，扫描位置，数量图片，对于75％的图片，是社会安全号码。

尽管存在其他风险，但暴露此数据会使患者面临身份盗用和欺诈的风险。以前，安全研究人员表明，DICOM图像格式的缺陷允许插入恶意代码。因此，可以下载图像，插入恶意代码，然后将其上传回PACS。在数据所有者不知情的情况下，这可能全部失败。出于研究目的，Greenbone Networks仅调查了阅读访问权限，而不是图像处理和上传。

使用RadiAnt DICOM Viewer访问和查看图像。可以免费在线免费获得有关使用RadiAnt DICOM Viewer查看图像的配置说明，以及查看器和存储图像的IP列表。

Greenbone Networks估计，曝光的医学图像和PHI的价值超过10亿美元。数据可用于各种恶意目的，包括身份盗窃，社会工程和网络钓鱼以及勒索。

数据的暴露违反了《健康保险可移植性和责任法案》（HIPAA），欧盟的《通用数据保护条例》（GDPR）以及许多其他数据隐私和安全法。数据涉及52个以上国家/地区的更多个人。

https://www.hipaajournal.com/update-issued-on-unsecured-pacs-as-exposed-medical-image-total-rises-to-1-19-billion/

文章来源：Hipaajournal，转载请标明出处，发布此信息的目的在于传播更多信息，如有侵权请联系删除。