[vc_row css=”.vc_custom_1578908645775{padding: 7% !important;}”][vc_column][vc_column_text]Milioni di referti medici contenenti le informazioni sanitarie personali dei pazienti si stanno diffondendo su Internet.
Centinaia di ospedali, studi medici e centri di imaging stanno utilizzando sistemi di archiviazione non sicuri, consentendo a chiunque abbia una connessione a Internet e un software gratuito da scaricare di accedere a oltre 1 miliardo di immagini mediche di pazienti in tutto il mondo.
Circa la metà di tutte le immagini esposte, che comprendono radiografie, ecografie e TAC, appartengono a pazienti negli Stati Uniti.
Eppure, nonostante gli avvertimenti dei ricercatori della sicurezza che hanno passato settimane ad avvertire gli ospedali e gli studi medici del problema, molti hanno ignorato i loro avvertimenti e continuano a esporre le informazioni sanitarie private dei loro pazienti.
“Sembra peggiorare ogni giorno”, ha detto Dirk Schrader, che ha guidato la ricerca presso la società di sicurezza tedesca Greenbone Networks, che ha monitorato il numero di server esposti nell’ultimo anno.
Il problema è ben documentato. A settembre Greenbone ha trovato 24 milioni di esami di pazienti che memorizzavano oltre 720 milioni di immagini mediche, il che ha portato alla luce per la prima volta la portata del problema, come riportato da ProPublica. Due mesi dopo, il numero di server esposti era aumentato di oltre la metà, fino a 35 milioni di esami dei pazienti, esponendo 1,19 miliardi di scansioni e rappresentando una notevole violazione della privacy dei pazienti.
Ma il problema mostra pochi segni di attenuazione. “La quantità di dati esposti è ancora in aumento, anche considerando la quantità di dati presi offline a causa delle nostre rivelazioni”, ha detto Schrader.
Se i medici non intervengono, ha detto che il numero di immagini mediche esposte raggiungerà un nuovo picco “in poco tempo”.
I ricercatori dicono che il problema è causato da una debolezza comune che si trova sui server utilizzati da ospedali, studi medici e centri di radiologia per memorizzare le immagini mediche dei pazienti.
Un formato di file vecchio di decenni e uno standard industriale noto come DICOM è stato progettato per rendere più facile per i medici di memorizzare le immagini mediche in un unico file e condividerle con altri studi medici. Le immagini DICOM possono essere visualizzate utilizzando una qualsiasi delle app gratuite, come farebbe qualsiasi radiologo. Le immagini DICOM sono tipicamente memorizzate in un sistema di archiviazione e comunicazione delle immagini, noto come server PACS, che consente una facile archiviazione e condivisione. Ma molti studi medici ignorano le migliori pratiche di sicurezza e collegano il loro server PACS direttamente a Internet senza password.
Questi server non protetti non solo espongono le immagini mediche, ma anche le informazioni sanitarie personali dei pazienti. Molte scansioni dei pazienti includono fogli di copertina cotti nel file DICOM, tra cui il nome del paziente, la data di nascita e informazioni sensibili sulle loro diagnosi. In alcuni casi, gli ospedali utilizzano il numero di previdenza sociale del paziente per identificare i pazienti in questi sistemi.
Lucas Lundgren, un ricercatore sulla sicurezza con sede in Svezia, ha passato parte dell’anno scorso a esaminare l’entità dei dati delle immagini mediche esposte. A novembre, ha dimostrato a TechCrunch quanto fosse facile per chiunque visualizzare i dati medici dai server esposti. In pochi minuti, ha trovato uno dei più grandi ospedali di Los Angeles che esponeva decine di migliaia di scansioni di pazienti risalenti a diversi anni fa. Il server è stato poi messo in sicurezza.
Alcuni dei più grandi ospedali e centri di imaging degli Stati Uniti sono i maggiori responsabili dell’esposizione dei dati medici. Schrader ha detto che i dati esposti mettono i pazienti a rischio di diventare “vittime perfette per le frodi delle assicurazioni mediche”.
Tuttavia, i pazienti non sono consapevoli del fatto che i loro dati potrebbero essere esposti su Internet in modo che chiunque possa trovarli.
Il Mighty, che ha esaminato l’effetto sui pazienti, ha trovato informazioni mediche esposte che mettono i pazienti ad un maggiore rischio di frode assicurativa e furto di identità. I dati esposti possono anche erodere il rapporto tra i pazienti e i loro medici, portando i pazienti a diventare meno disposti a condividere informazioni potenzialmente pertinenti.
Nell’ambito della nostra indagine, abbiamo trovato un certo numero di centri di imaging degli Stati Uniti che conservano decenni di scansioni dei pazienti.
Una paziente, le cui informazioni sono state esposte a seguito di una visita al pronto soccorso in Florida l’anno scorso, ha descritto i suoi dati medici esposti come “spaventosi” e “scomodi”. Un altro con una malattia cronica è stato sottoposto a regolari scansioni in un ospedale della California per un periodo di 30 anni. E un server non protetto in uno dei più grandi ospedali militari degli Stati Uniti ha esposto i nomi del personale militare e le immagini mediche.
Ma anche nel caso di pazienti con una sola o una manciata di immagini mediche, i dati esposti possono essere utilizzati per dedurre un quadro della salute di una persona, comprese malattie e lesioni.
Nel tentativo di rendere sicuri i server, Greenbone ha contattato più di un centinaio di organizzazioni il mese scorso in merito ai loro server esposti. Molte delle organizzazioni più piccole hanno successivamente messo in sicurezza i loro sistemi, con il risultato di un piccolo calo del numero complessivo di immagini esposte. Ma quando la società di sicurezza ha contattato le 10 organizzazioni più grandi, che rappresentavano circa una su cinque di tutte le immagini mediche esposte, Schrader ha detto che non c’è stata “alcuna risposta”.
Greenbone ha condiviso privatamente i nomi delle organizzazioni per consentire a TechCrunch di seguire ogni studio medico, tra cui un fornitore di servizi sanitari con tre ospedali a New York, una società di radiologia in Florida con una dozzina di sedi e un importante ospedale con sede in California. (Non faremo i nomi delle organizzazioni interessate per limitare il rischio di esporre i dati dei pazienti).
Solo un’organizzazione ha messo in sicurezza i propri server. Northeast Radiology, un partner di Alliance Radiology, aveva la più grande cache di dati medici esposti negli Stati Uniti, secondo i dati di Greenbone, con più di 61 milioni di immagini su circa 1,2 milioni di pazienti nei suoi cinque uffici. Il server è stato messo in sicurezza solo dopo il follow-up di TechCrunch, un mese dopo che Greenbone aveva avvertito per la prima volta l’organizzazione dell’esposizione.
Il portavoce dell’Alleanza Tracy Weise ha rifiutato di commentare.
Schrader ha detto che se le restanti organizzazioni interessate avessero tolto i loro sistemi esposti da Internet, quasi 600 milioni di immagini sarebbero “scomparse” da Internet.
Gli esperti che per anni hanno messo in guardia dai server esposti dicono che gli studi medici hanno poche scuse. Yisroel Mirsky, un ricercatore sulla sicurezza che ha studiato le vulnerabilità di sicurezza nelle apparecchiature mediche, ha detto l’anno scorso che le caratteristiche di sicurezza stabilite dall’organismo di normalizzazione che ha creato e mantiene lo standard DICOM sono state “ampiamente ignorate” dai produttori di dispositivi.
Schrader non ha dato la colpa ai produttori di dispositivi. Invece, ha detto che è stata “pura negligenza” che gli studi medici non sono riusciti a configurare e proteggere correttamente i loro server.
Lucia Savage, un ex funzionario senior per la privacy presso il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, ha detto che occorre fare di più per migliorare la sicurezza in tutto il settore sanitario – soprattutto a livello di organizzazioni più piccole che non dispongono di risorse.
“Se i dati sono informazioni sanitarie personali, è necessario che siano protetti da accessi non autorizzati, il che include il reperimento su internet”, ha detto Savage. “C’è l’obbligo di chiudere a chiave la stanza dei file che contiene le cartelle cliniche cartacee, così come c’è l’obbligo di proteggere le informazioni sanitarie digitali”, ha detto Savage.
Le cartelle cliniche e i dati sanitari personali sono altamente protetti dalla legge statunitense. L’Health Insurance Portability and Accountability Act (HIPAA) ha creato la “regola di sicurezza”, che comprendeva salvaguardie tecniche e fisiche volte a proteggere le informazioni sanitarie elettroniche personali garantendo la riservatezza e la sicurezza dei dati. La legge considera anche i fornitori di servizi sanitari responsabili di eventuali violazioni della sicurezza. Il mancato rispetto della legge può portare a gravi sanzioni.
L’anno scorso il governo ha multato una società di imaging medico del Tennessee per 3 milioni di dollari per aver inavvertitamente esposto un server contenente oltre 300.000 dati protetti dei pazienti.
Deven McGraw, che era il principale responsabile della privacy nel braccio esecutivo dei servizi sanitari e umani – l’Ufficio per i diritti civili – ha detto che se l’assistenza alla sicurezza fosse stata più disponibile per i fornitori più piccoli, il governo avrebbe potuto concentrare i suoi sforzi per far rispettare la legge su fornitori che ignorano intenzionalmente i loro obblighi di sicurezza.
“L’applicazione delle norme da parte del governo è importante, così come la guida e il supporto per i fornitori con minori risorse e soluzioni facili da implementare che sono integrate nella tecnologia”, ha detto McGraw. “Potrebbe essere un problema troppo grande per ogni singola agenzia di applicazione della legge, per poterlo veramente ammaccare”.
Da quando la scala dei server medici esposti è stata rivelata per la prima volta in settembre, il senatore Mark Warner (D-VA) ha chiesto risposte ai servizi sanitari e umani. Warner ha riconosciuto che il numero di server esposti con sede negli Stati Uniti è diminuito – 16 server con 31 milioni di immagini – ma ha detto a TechCrunch che “bisogna fare di più”.
“Per quanto ne so, i servizi sanitari e umani non hanno fatto nulla”, ha detto Warner a TechCrunch. “Mentre i Servizi sanitari e umani spingono in modo aggressivo per consentire a una più ampia gamma di soggetti di avere accesso alle informazioni sanitarie sensibili dei pazienti americani senza le tradizionali protezioni della privacy legate a tali informazioni, la disattenzione dell’HHS per questo particolare incidente diventa ancora più preoccupante”, ha aggiunto.
L’Ufficio per i diritti civili dei servizi sanitari e umani ha dichiarato di non commentare i singoli casi, ma di difendere le sue azioni di applicazione.
“L’OCR ha intrapreso azioni esecutive in passato per affrontare le violazioni riguardanti i server di storage non protetti e continua a far rispettare le regole dell’HIPAA”, ha detto il portavoce.
Fonte[/vc_column_text][/vc_column][/vc_row]
