Centinaia di server di computer in tutto il mondo che archiviano radiografie, risonanze magnetiche, scansione TC di milioni di pazienti sono così insicuri da rendere facile per chiunque abbia competenze informatiche di base e un po’ di dimestichezza con qualsiasi Pc, metterci il naso. A rivelarlo la rivista investigativa americana online ProPublica.
I registri riguardano oltre 5 milioni di pazienti negli Stati Uniti e milioni di altri in tutto il mondo. In alcuni casi, un discreto snoop utilizzando programmi software gratuiti – o solo un normale browser Web – riuscirebbe a visualizzare migliaia di immagini e dati privati, sempre secondo l’indagine di ProPublica e di Bayerischer Rundfunk, un’emittente radiotelevisiva pubblica locale del Land tedesco della Baviera, con sede a Monaco di Baviera.
“Abbiamo identificato 187 server – computer utilizzati per archiviare e recuperare dati medici – negli Stati Uniti non protetti da password o precauzioni di sicurezza di base. I sistemi informatici non sicuri sono stati localizzati dalla Florida alla California e si aggiungono a un elenco crescente di sistemi di cartelle cliniche compromessi negli ultimi anni”, spiega Jackie Singh, ricercatore di sicurezza informatica e amministratore delegato della società di consulenza Spyglass Security. “Quelli che sono riuscitI a entrare negli archivi, non sono furbissimi hacker che hanno eluso le difese informatiche di una società, ma persone comuni che hanno avuto accesso a quei dati semplicemente come si entra da una porta aperta. Alcuni fornitori di servizi medici”, ha precisato Singh, “dopo avere letto il nostro report hanno iniziato a mettere in sicurezzA i loro sistemi Dalla nostra recensione è emerso che l’entità dell’esposizione dei dati varia a seconda del fornitore di servizi sanitari e del software utilizzato. Ad esempio, il server della società statunitense MobilexUSA con una semplice query ha visualizzato i nomi di oltre un milione di pazienti”.
Di conseguenza la scorsa settimana MobilexUSA ha rafforzato la sua sicurezza informatica. La compagnia che esegue radiografie mobili e fornisce servizi di imaging a case di cura, ospedali di riabilitazione, ospedali e carceri. ha dichiarato: “Abbiamo prontamente attenuato le potenziali vulnerabilità identificate da ProPublica e abbiamo immediatamente avviato un’indagine approfondita e continua”, ha affermato la società madre di MobilexUSA in una nota. Una corsa ai ripari più che giustificabile visto che tutto sommato, i dati medici di oltre 16 milioni di scansioni in tutto il mondo erano disponibili online, inclusi nomi, date di nascita e, in alcuni casi, numeri di previdenza sociale.
Gli esperti dicono che è difficile individuare di chi è la colpa della mancata protezione della privacy delle immagini mediche. In ogni caso non si sono scuse visto che sia negli Stati Uniti, la protezione della privacy dei dati dei pazienti è legalmente tutelata. E negli Usa la violazione della Portability and Accountability Act (HIPAA), ossia la legge del 1996 che impone ai fornitori di servizi sanitari di mantenere riservati e sicuri i dati sanitari degli americani fa correre il rischio di pagare multe salatissime.
Sebbene ProPublica non abbia trovato prove che i dati dei pazienti siano stati copiati da questi sistemi e pubblicati altrove, le conseguenze dell’accesso non autorizzato a tali informazioni potrebbero essere comunque devastanti. “Le cartelle cliniche sono una delle aree più importanti per la privacy perché contengono dati sensibili. Le conoscenze mediche possono essere utilizzate contro i pazienti in modi malvagi anche per ricattare le persone”, ha affermato Cooper Quintin, ricercatrice di sicurezza e tecnologa del personale senior della Electronic Frontier Foundation, un’organizzazione internazionale non profit di avvocati, che opera per la tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale.
“Da quando le reti negli ospedali e nei centri medici sono diventate più complesse e connesse a Internet e la responsabilità della sicurezza è passata agli amministratori di rete che hanno ipotizzato che esistessero misure di sicurezza, improvvisamente, la sicurezza medica è diventata un progetto fai-da-te”, ha scritto Oleg Pianykh, the director of medical analytics at Massachusetts, in un documento di ricerca del 2016 che ha pubblicato su una rivista medica.
L’indagine di ProPublica si è basata sui risultati di Greenbone Networks, una società di sicurezza con sede in Germania che ha identificato problemi simili in almeno 52 paesi. Dirk Schrader di Greenbone ha poi condiviso per la prima volta le sue ricerche con l’emittente Tv Bayerischer Rundfunk dopo aver scoperto che le cartelle cliniche di alcuni pazienti erano a rischio e così i problemi sono venuti a galla.
Schrader ha trovato cinque server in Germania e 187 negli Stati Uniti che hanno reso disponibili le cartelle dei pazienti senza password. ProPublica e Bayerischer Rundfunk hanno anche scansionato gli indirizzi del protocollo Internet iper sapere a quale fornitore medico appartenevano. Incuria, server obsoleti hanno permesso che i dati di oltre 13,7 milioni test medici negli Stati Uniti fossero disponibili online, inclusi oltre 400.000 in cui i raggi X e altre immagini potevano essere scaricate.
Il problema della privacy risale al passaggio della professione medica dalla tecnologia analogica a quella digitale. Sono lontani i tempi in cui i raggi X del film venivano visualizzati su pannelli luminosi fluorescenti. Dopo l’approvazione dell’ HealthInsurance Portability and Accountability Act (HIPAA) nel 1996, una legge che ha lo scopo di rendere più facile per i lavoratori statunitensi mantenere la copertura assicurativa sanitaria quando cambiano o perdono il posto di lavoro, c’è stato un aumento di dati ha reso necessario garantire più protezione alle informazioni del paziente da accessi non autorizzati. Di prassi grandi catene ospedaliere e centri medici accademici fanno i passi giusti sul fronte della sicurezza. invece i centri indipendenti, privati e non pubblici lavorano più “all’acqua di rose” nell’archiviare dati e risultati diagnostici.
Come faccio, in qualità di paziente, a sapere se i miei dati sono al sicuro?
Se sei un paziente:
Se è sono state scansionate delle immagini mediche (ad es. radiografia, TAC, risonanze magnetiche ultrasuoni, ecc.), devi chiedere al medico che ha effettuato la scansione – o al tuo medico – se l’accesso a quelle immagini richiede un login e una password.
Se sei un fornitore di imaging medico o uno studio medico:
I ricercatori hanno scoperto che i server di sistemi di archiviazione e comunicazione di immagini (PACS) che implementano lo standard DICOM possono essere a rischio se sono collegati direttamente a Internet senza VPN o firewall o se l’accesso ad essi non richiede una password sicura. Tu o il tuo staff IT dovreste assicurarvi che il vostro server non sia accessibile via Internet senza una connessione VPN e una password. Se conosci l’indirizzo IP del tuo server, ma non sei sicuro che sia (o possa essere stato) accessibile via Internet, scrivi a questo indirizzo per avere delucidazioni: medicalimaging@propublica.org.