HHS drängt Anbieter zur Sicherung von PACS-Schwachstellen, die medizinische Bilder preisgeben

  • Hier zu sehen, die Radiologieabteilung des Naval Medical Center San Diego. Radiologische Abteilungen nutzen üblicherweise PACS, um medizinische Bilder mit anderen Anbietern auszutauschen, aber die Technik birgt Schwachstellen, die die Offenlegung medizinischer Bilder ermöglichen könnten. (Mass Communication Specialist Seaman Luke Cunningham/U.S. Navy)

    Einrichtungen des Gesundheitswesens sollten ihre Systeminventare auf Picture Archiving Communication Systems (PACS) überprüfen und sicherstellen, dass alle Schwachstellen gepatcht oder vor öffentlichem Zugriff geschützt sind, so eine aktuelle Warnung des Department of Health and Human Services.

    Das HHS hat eine nicht vollständige Liste der betroffenen PACS zur Verfügung gestellt, die einige der am häufigsten verwendeten Systeme im Gesundheitswesen umfasst, wie z. B. die medizinischen Bildgebungssysteme Optima 520, 540, 640 und 680, die Systeme Discovery NM530c, NM750b und XR656, RevolutionXQ/i, Centricity PACS und DMS-Server, eNTEGRA, CADstream, GEMNet und eine Reihe anderer.

    Die Empfehlung folgt auf den jüngsten Bericht von SC Media, der bestätigte, dass Millionen medizinischer Bilder durch ungesicherte PACS offengelegt werden. Die USA sind der größte Übeltäter mit 130 Gesundheitssystemen, die aktiv 8,5 Millionen Fallstudien preisgeben.

    Die kompromittierten Daten repräsentieren mehr als 2 Millionen Patienten von ca. 275 Millionen Bildern, die sich auf ihre Untersuchungen beziehen. Die Untersuchung zeigt, dass viele dieser Gesundheitssysteme weiterhin neue Daten in Echtzeit hochladen, die wiederum durch anfällige PACS offengelegt werden.

    PACS sind ein notwendiges Werkzeug im Gesundheitswesen, das von Krankenhäusern, Forschern, Kliniken und sogar kleinen Anbietern genutzt wird, um Patientendaten und medizinische Bilder auszutauschen. Die Systeme erfassen Ultraschall, CT-Scans, MRT-Daten und Röntgenaufnahmen, die dann im DICOM-Format (Digital Imaging and Communications) gespeichert werden.

    DICOM ist das Kommunikations- und Verwaltungstool, das zum Speichern und Senden von medizinischen Bildgebungsdaten und verwandten Daten zwischen Anbietern verwendet wird. Der Legacy-Standard ist jedoch 30 Jahre alt und sehr anfällig und offen für Ausbeutung.

    Die massiven Expositionen wurden erstmals im September 2019 von ProPublica ans Licht gebracht. Der Bericht zeigte die Leichtigkeit, mit der ein Angreifer Hintertüren in diese Systeme finden und identifizieren konnte, was System-Exploits ermöglichte.

    Der Forscher hinter diesen Berichten, Dirk Schrader, Global Vice President bei New Net Technologies (NNT), erklärte, dass es wahrscheinlich ist, dass die Gesundheitssysteme, die exponierte PACS nutzen, auch Betriebssysteme mit anderen kritischen Schwachstellen sind.

    Darüber hinaus zeigten die nachfolgenden Berichte über die anhaltenden PACS-Enthüllungen durchweg keine dauerhaften Verbesserungen für US-Gesundheitsdienstleister und demonstrierten ein übergreifendes kritisches Problem in der Gesundheitsversorgung. Der Schweregrad des Problems wird durch die jüngste HHS-Beratung bestätigt.

    “Anfällige PACS-Server sind unnötig gefährdet, wenn sie ohne Anwendung grundlegender Sicherheitsprinzipien direkt mit dem Internet verbunden sind”, heißt es in der Warnung. “Die mit PACS-Systemen verbundenen Schwachstellen reichen von bekannten Standardpasswörtern über fest kodierte Anmeldedaten bis hin zu fehlender Authentifizierung innerhalb der Software von Drittanbietern.”

    “Eine erfolgreiche Ausnutzung dieser Schwachstellen kann die medizinischen Daten von Patienten offenlegen, einschließlich Patientennamen, Untersuchungsdaten, Bilder, Ärztenamen, Geburtsdaten, Prozedurtypen, Prozedurorte und Sozialversicherungsnummern”, heißt es weiter.

    Wenn ein Angreifer das DICOM-Protokoll ausnutzt, könnte er außerdem medizinische Diagnosen manipulieren, Scans fälschen, Malware installieren, Untersuchungen manipulieren und andere ruchlose Aktivitäten durchführen.

    Und sobald ein Angreifer über das PACS Zugriff auf das Netzwerk eines Unternehmens erlangt hat, kann er anschließend alle angeschlossenen medizinischen Geräte kompromittieren und sich über angeschlossene, ungesicherte Systeme unentdeckt im Netzwerk verbreiten.

    Um zu gewährleisten, dass PACS sicher sind, müssen Einrichtungen zunächst die Verbindungen überprüfen und validieren, um sicherzustellen, dass der Zugriff nur auf autorisierte Benutzer beschränkt ist. Die Systeme sollten außerdem gemäß der vom Hersteller bereitgestellten Dokumentation konfiguriert werden.

    Darüber hinaus müssen Administratoren sicherstellen, dass der mit dem Internet verbundene Datenverkehr zwischen der Einrichtung und Anbietern oder Patienten durch die Verwendung von HTTPS verschlüsselt und hinter einer Firewall platziert ist. Diese Einrichtungen sollten auch die Verwendung eines virtuellen privaten Netzwerks (VPN) für den Zugriff auf das System verlangen.

    Das HHS fordert alle betroffenen Einrichtungen auf, die Angriffsfläche und die allgemeine Sicherheitslage aller PACS-Systeme in Übereinstimmung mit den Industriestandards unverzüglich zu überprüfen, zu aktualisieren und zu pflegen.

    Schrader, der die betroffenen Einrichtungen bereits benachrichtigt hat, empfiehlt den Einsatz von Netzwerk-Transparenz-Tools, um Geräte und deren Kommunikation abzubilden. Das Tool kann bestehende Sicherheitslücken aufdecken, die möglicherweise ungewollt Unternehmensrisiken ermöglichen.

    PACS und andere anfällige Systeme, wie z. B. nicht unterstützte Technik oder Geräte, die einen Patch benötigen, sollten vom Hauptnetzwerk segmentiert werden, um die Auswirkungen eines erfolgreichen Exploits zu reduzieren. Audit- und Monitoring-Tools können ebenfalls zur Risikominderung beitragen.

    “Jedes System, das mit dem Internet verbunden ist, ob es auf aktuellen Standards basiert oder nicht, wird von Angreifern gescannt”, so Schrader. “Und wenn es keinen Schutz für diese Systeme gibt, öffnet das das Spielfeld.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com