由于医生忽视警告，十亿张医学图像在网上曝光

 
每天，数以百万计的包含患者个人健康信息的新医学图像正涌入互联网。
数以百计的医院，医疗办公室和影像中心正在运行不安全的存储系统，任何拥有互联网连接和免费下载软件的人都可以访问全球超过10亿例患者的医学图像。
在所有曝光的图像(包括X射线，超声波和CT扫描)中，约有一半属于美国患者。
尽管有来自安全研究人员的警告，他们已经花了数周的时间就此问题向医院和医生办公室发出警报，但许多人还是忽略了他们的警告，并继续暴露患者的私人健康信息。
“这似乎每天都在恶化，”负责德国安全公司Greenbone Networks的研究工作的Dirk Schrader说。该公司过去一年一直在监控裸露服务器的数量。
该问题有据可查。去年9月，Greenbone发现2400万例患者检查存储了7.2亿张医学图像，这是ProPublica首次发现问题的严重性。两个月后，暴露的服务器数量增加了一半以上，达到3500万例患者检查，暴露了11.9亿次扫描，这严重侵犯了患者的隐私。
但是这个问题几乎没有减弱的迹象。 Schrader说：“即使考虑到由于我们的披露导致离线数据量，暴露的数据量仍在增加。”
他说，如果医生不采取行动，那么曝光的医学图像数量将“很快”达到新高。
仍有超过十亿张医学图像被曝光。专家说，这个数字正在恶化，而不是更好。

 
研究人员说，该问题是由医院，医生办公室和放射中心用于存储患者医学图像的服务器上常见的缺陷引起的。
几十年前的文件格式和称为DICOM的行业标准旨在使医疗从业人员更轻松地将医学图像存储在单个文件中，并与其他医学实践共享。可以使用任何免费的应用程序来查看DICOM图像，就像任何放射线医生一样。 DICOM图像通常存储在图片存档和通信系统(称为PACS服务器)中，从而易于存储和共享。但是，许多医生办公室无视安全最佳实践，并且无需密码即可将其PACS服务器直接连接到Internet。
这些不受保护的服务器不仅会公开医学影像，还会公开患者的个人健康信息。许多患者的扫描内容都包含在DICOM文件中的封面，包括患者的姓名，出生日期以及有关其诊断的敏感信息。在某些情况下，医院会使用患者的社会安全号码来识别这些系统中的患者。
瑞典安全研究人员卢卡斯·隆格伦(Lucas Lundgren)去年花费了一部分时间来研究暴露的医学图像数据的范围。在11月，他向TechCrunch展示了任何人从暴露的服务器查看医疗数据都非常容易。在短短的几分钟内，他发现了洛杉矶最大的医院之一，该医院暴露了数年前可追溯到成千上万例患者的扫描图像。该服务器后来被保护。
美国一些最大的医院和影像中心是暴露医疗数据的最大罪魁祸首。施拉德说，暴露的数据使患者处于成为“医疗保险欺诈的完美受害者”的风险中。
但是，患者并未意识到他们的数据可能会在互联网上公开供任何人查找。
威力(Mighty)检查了对患者的影响，发现暴露的医疗信息使患者面临更大的保险欺诈和身份盗窃风险。暴露的数据也可能侵蚀患者及其医生之间的关系，导致患者变得不愿意共享潜在的相关信息。
作为调查的一部分，我们发现了许多美国成像中心，它们存储了数十年的患者扫描图像。
一名患者去年去佛罗里达急诊室就诊，其信息被泄露，她称其暴露的医疗数据“吓人”且“不舒服”。另一名患有慢性病的患者在加利福尼亚州的一家医院接受了定期检查。 30年。美国最大的一家军事医院之一的一台不受保护的服务器暴露了军事人员的名字和医学图像。
但是，即使对于只有一张或几张医学图像的患者，所暴露的数据也可以用来推断一个人的健康状况，包括疾病和伤害。
为了确保服务器的安全，Greenbone上个月就其暴露服务器与一百多个组织进行了联系。随后，许多较小的组织都对其系统进行了安全保护，从而使曝光图像的总数略有下降。但是，当安全公司与10个最大的组织联系时，这些组织约占所有暴露的医学图像的五分之一，施拉德说“根本没有任何反应”。
Greenbone私下共享了组织的名称，以使TechCrunch可以跟进每个医疗机构，包括在纽约设有三家医院的医疗服务提供者，在佛罗里达州有十几个地点的放射科和位于加州的一家主要医院。 (我们并没有命名受影响的组织来限制暴露患者数据的风险。)
只有一个组织保护其服务器。根据Greenbone的数据，Alliance Radiology的合作伙伴Northeast Radiology在美国拥有最大的暴露医疗数据缓存，在其五个办事处的约120万患者身上拥有超过6,100万张图像。仅在Greenbone首次警告曝光的组织一个月后，TechCrunch才对服务器进行保护。
联盟发言人Tracy Weise拒绝置评。
施拉德说，如果其余受影响的组织将其暴露系统从互联网上删除，则将有近6亿张图像从互联网上“消失”。
多年来警告裸露服务器的专家表示，医疗实践很少有借口。研究过医疗设备安全漏洞的安全研究人员伊斯洛尔·米尔斯基(Yisroel Mirsky)去年表示，创建和维护DICOM标准的标准机构提出的安全功能已被设备制造商“大大忽略”。
施拉德没有将责任归咎于设备制造商。相反，他说医生办公室未能正确配置和保护服务器是“纯粹的疏忽”。
美国卫生与公共服务部前高级隐私官员Lucia Savage表示，要提高整个医疗保健行业的安全性，尤其是缺乏资源的小型组织，还需要做更多的工作。
Savage说：“如果数据是个人健康信息，则必须防止未经授权的访问，包括在互联网上找到数据，”她说：“与保护数字健康信息一样，有同等义务锁定包含您的纸质医疗记录的文件室。”
医疗记录和个人健康数据受到美国法律的高度保护。 《健康保险可移植性和责任法案》(HIPAA)制定了“安全规则”，其中包括旨在通过确保数据的私密性和安全性来保护电子个人健康信息的技术和物理保障措施。该法律还规定医疗保健提供者应对任何安全漏洞负责。违反法律会导致严厉的处罚。
“随着健康与公共服务部积极推动允许更多的当事人访问美国患者的敏感健康信息，而传统的隐私保护并没有附加到该信息上，因此HHS对这一特殊事件的关注变得更加令人不安。”
去年，政府对一家位于田纳西州的医学成像公司处以300万美元的罚款，原因是它无意中泄露了包含30万个受保护患者数据的服务器。
卫生与公众服务执行机构(民权办公室)最高隐私官员戴文·麦格劳(Deven McGraw)表示，如果较小的医疗服务提供者可以获得更多安全援助，则政府可以将执法重点放在故意忽略其安全性的医疗服务提供者上义务。
McGraw说：“政府的执法非常重要，对资源匮乏的提供商和技术中易于部署的解决方案的指导和支持也很重要。” “对于任何一个执法机构来说，要真正地屈服可能是一个太大的问题。”
自从9月首次揭露了暴露的医疗服务器的规模以来，参议员马克·华纳(D-VA)要求卫生与公共服务部提供答案。华纳承认，美国的公开服务器数量有所减少-16台服务器存储3,100万张图像-但他告诉TechCrunch，“还需要做更多的事情。”
“据我所知，卫生和公共服务部对此没有做任何事情，”华纳对TechCrunch说。他补充说：“由于健康与公共服务部积极推动允许更多的团体访问美国患者的敏感健康信息，而该信息并未附加传统的隐私保护，因此，HHS对这一特殊事件的关注变得更加令人不安，”他补充说。
卫生与公众服务部民权办公室表示，未对个别案件发表评论，但为其执法行动辩护。
发言人说：“ OCR过去已采取执法行动来解决与不受保护的存储服务器有关的违规行为，并继续严格执行HIPAA规则。”
Schrader说：“我们将继续尽最大努力改善无保护系统的全球状况。” 但是他说，除了警告组织暴露的服务器之外，他还不能做更多的事情。
他说：“那对监管者来说是个问题。”