Korunmasız Tıbbi Sistemler Milyonlarca Hastanın Verisini Sızdırdı

Alman güvenlik firması Greenbone, İnternet üzerinden erişilebilen yüzlerce, korunmasız tıbbi görüntüleme sisteminin dünya çapında milyonlarca hastaya ait verileri ortaya çıkardığını açıkladı.

Bir güvenlik açığı analizi ve yönetimi çözümleri sağlayıcısı olan Greenbone tarafından yapılan analiz, sağlık kuruluşları tarafından tıbbi görüntüleri yakalamak, depolamak ve dağıtmak için kullanılan Picture Archiving and Communication Systems-Resim Arşivleme ve İletişim Sistemleri (PACS) üzerine odaklanmıştır.

Şirketin çalışması, sağlık kuruluşlarında hasta verilerinin ne kadar iyi korunduğuna ışık tutmayı amaçladı ve sonuçlar iç açıcı değildi: analiz edilen PACS sunucularının yaklaşık dörtte biri internete verileri sızdırıyordu.

Özellikle, Temmuz ve Eylül 2019 arasında analiz edilen 2.300 sistemden 590’nı internetten erişilebilir durumdaydı  ve üzerlerinde saklanan kişisel veya tıbbi veriler için hiçbir koruma yoktu. Bu veriler hasta adı ve doğum tarihi, muayene tarihi, muayene nedeni hakkında bazı ayrıntılar ve hatta bu hastalar için görüntü verilerini içermektedir.

Genel olarak, 590 veri sızdıran kalan sistem, 737 milyon görüntü (X-ışını, CT, MRI cihazlarından) dahil olmak üzere 52 ülkedeki hastalardan 24.5 milyondan fazla veri kaydı içeriyordu ve bu görüntülerin 400 milyonu İnternet üzerinden kolayca indirilebilir durumdaydı.

Kasım 2019’da güvenlik firması, yalnızca sızıntıya maruz kalan veri miktarının arttığını keşfetmek için çalışmayı tekrar etti. 129 yeni arşivleme sistemi bulunmasına ve 172’si çevrimdışı olmasına rağmen, toplam 35 milyon veri kaydına herkes erişebildi. Ayrıca, sızıntıya maruz kalan görüntü sayısı 737 milyondan 1.19 milyara (1.193.404.000) yükselmiştir.

Güncellenmiş bir raporda ( PDF ) Greenbone, görüntülere erişmenin mümkün olduğu hasta kayıtlarının sayısının Eylül ve Kasım ayları arasında 4.4 milyondan 9 milyona yani iki katına çıktığını açıkladı. İnternet üzerinden kolayca indirilebilecek görüntü sayısı 400 milyondan 370 milyona düşmüştü.

Ocak ayının başında yapılan analizler, sızıntıya maruz kalan PACS sayısında hafif bir düşüş gösterdi, ancak on milyonlarca tıbbi çalışma İnternet’e sızmaya devam ediyor.

En çok etkilenen ülkeler açısından ABD lider konumdadır. Greenbone 140’tan fazla ABD kuruluşuna hasta verilerini açıkladıklarını bildirdi, ancak Kasım 2019 raporlarında klinikler, hastaneler ve radyoloji servis sağlayıcıları da dahil olmak üzere 800’den fazla etkilenmiş kurum olduğu belirtiliyor.

Türkiye, Güney Afrika, Ekvador, Hindistan ve Brezilya da sızıntıların olduğu ülkelerin başında geliyor. Türk PACS sunucularında hasta TC kimlik numaraları da rastlanan bilgilerdendi.

Greenbone, sorunun güvenlik bilinci yoluyla azaltılabileceğini söylüyor: kuruluşlar varlıklarının görünürlüğünü artırmalı ve internete maruz kalıp kalmadığını kontrol etmelidir; doktorlar, elektronik biçimde iletilen tıbbi bilgilerin şifreli olduğunu doğrulamalı ve hastalar doktorlara veri koruma politikalarını sormalıdır.

About The Author

Reply