Oltre un miliardo di immagini mediche finite online per negligenza. E l'Italia è al primo posto tra i Paesi Europei

Oltre un miliardo di immagini mediche finite online per negligenza. E l'Italia è al primo posto tra i Paesi Europei

Le immagini mediche frutto di radiografie, ecografie, TAC e quant'altro possono essere tranquillamente accessibili da chiunque perché conservate su server senza alcuna protezione

di pubblicata il , alle 17:01 nel canale Sicurezza
 

Sono milioni le immagini mediche che ogni giorno diventano liberamente disponibili sulla rete anche da chi non dovrebbe avere l'autorizzazione per accedervi. Questo perché centinaia di ospedali, studi medici, ambulatori, cliniche e centri diagnostici operano con sistemi di storage non sicuri o non adeguatamente configurati e danno modo a chiunque di poter accedere ad un totale complessivo di oltre un miliardo di immagini (radiografie, ecografie, TAC e via discorrendo) di pazienti in tutto il mondo, con la metà circa appartenenti a cittadini statunitensi.

Nonostante gli avvertimenti e le segnalazioni diramate dai ricercatori di sicurezza che hanno passato settimane ad allertare ospedali e studi medici, nuove immagini - e con esse le informazioni private sulla salute dei pazienti - continuano ad essere esposte ogni giorno perché in molti hanno ignorato gli avvertimenti.

Dirk Schrader, ricercatore di sicurezza per Greenbone Networks, ha condotto l'analisi e ha monitorato il numero dei server esposti nel passato recente, documentando le sue scoperte. Lo scorso mese di settembre sono state raccolte le prime informazioni che hanno aiutato a dare un'idea della portata del problema: in tutto sono stati individuati esami di 24 milioni di esami per un totale di 720 milioni di immagini mediche. Due mesi dopo sono stati riscontrati 35 milioni di esami per un totale di 1,19 miliardi di immagini. E la situazione non mostra segni di rallentamento con la quantità di dati esposti che continua a crescere, nonostante il numero di informazioni che sono state rese inaccessibili dopo le comunicazioni emesse dai ricercatori di sicurezza: se non si prendono contromisure immediate, il numero di immagini arriverà presto ad un nuovo massimo.

Nell'analisi Greenbone l'Italia appare, tra i paesi Europei, al primo posto per numero di sistemi non sicuri (in tutto 10) e per numero di immagini disponibili (più di 5 milioni e 800 mila all'analisi di settembre).

La radice del problema sarebbe stata individuata in un comune punto debole nei server usati dagli ospedali, cliniche, studi medici per stoccare le immagini dei pazienti. Queste immagini sono registrate con un formato di file standard di settore, conosciuto con il nome di DICOM, che è stato pensato per semplificare la conservazione e la condivisione delle immagini mediche. Le immagini DICOM sono conservate in un sistema di archivazione e comunicazione, conosciuto con il nome di server PACS. Spesso le caratteristiche di sicurezza stabilite dall'organismo di standardizzazione che ha creato e mantiene lo standard DICOM sono state ampiamente ignorate dai produttori dei dispositivi realizzati allo scopo.

In aggiunta a ciò, molti studi medici e cliniche non tengono nemmeno conto delle best practice di sicurezza e connettono i server PACS direttamente ad internet senza alcun tipo di protezione, nemmeno una semplice password. Ovviamente in questo modo ad essere esposte non sono solamente le immagini di radiografie o altri esami di imaging medico, ma anche le informazioni personali di salute del paziente. Molte delle immagini includono anche una sorta di copertina nel file DICOM, che reca il nome e la data di nascita del paziente e altre informazioni sensibili circa le diagnosi.

I principali punti critici di questa situazione sono principali centri diagnostici ed ospedali degli Stati Uniti. Greenbone ha contattato oltre un centinaio di realtà lo scorso mese per informarle del fatto che i loro server PACS erano liberamente accessibili da chiunque. Molte delle realtà di più piccole dimensioni hanno provveduto mettendo al sicuro i sistemi, misura che ha portato ad una piccola riduzione del numero totale di immagini pubblicamente accessibili. Ma purtroppo nessuna risposta è giunta dagli ospedali e dalle cliniche di più grandi dimensioni, che insieme costituiscono un quinto circa del volume di immagini esposte.

Il tipo di dati e informazioni liberamente accessibili mettono i pazienti a rischio di diventare vittime di frodi di assicurazioni sanitarie o di furto di identità, oltre che ad una compromissione del rapporto di fiducia tra pazienti e medici, che possono portare i primi ad essere meno inclini a condividere informazioni potenzialmente pertinenti al loro caso clinico.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
300013 Gennaio 2020, 17:17 #1
Beh, tutte le immagini mediche, prive del nome del paziente, dovrebbero essere rese semplicemente pubbliche in modo che ognuno possa fare le proprie ricerche facendosi aiutare della IA:
la Conoscenza è IL Tesoro.
jepessen13 Gennaio 2020, 17:23 #2
Originariamente inviato da: 3000
Beh, tutte le immagini mediche, prive del nome del paziente, dovrebbero essere rese semplicemente pubbliche in modo che ognuno possa fare le proprie ricerche facendosi aiutare della IA:
la Conoscenza è IL Tesoro.


Da un lato sono perfettamente d'accordo con te, dall'altro canto dato che sono dati miei vorrei almeno che me lo chiedessero (personalmente non avrei niente in contrario ma sono in molti a non pensarla come me), e soprattutto dovrebbero essere privati dei dati personali, come codice fiscale etc. Quando mi faccio io le TAC il cd e' pieno di questi tipi di dati.

Inoltre alcuni esami senza una profilassi non sono molto utili nel complesso. Un esame del sangue con una carenza potrebbe spuntare sia per un difetto genetico, sia per un'alimentazione errata, quindi per tracciare un quadro generale a livello statistico coerente ci vorrebbero parecchi dati.
giovanni6913 Gennaio 2020, 17:27 #3
Finiscono in rete al pari di ogni altra attività del genere umano che finisce sui cloud che sia di genere personale, lavorativo o altro. Tanto le EULA di servizi gratuito spesso servono proprio a questo: sfruttare dati per istruire software o macchine legate all'intelligenza artificiale.
floc13 Gennaio 2020, 18:42 #4
Originariamente inviato da: 3000
Beh, tutte le immagini mediche, prive del nome del paziente, dovrebbero essere rese semplicemente pubbliche in modo che ognuno possa fare le proprie ricerche facendosi aiutare della IA:
la Conoscenza è IL Tesoro.


quello che scrivi ha poco senso dal punto di vista scientifico: di un'immagine non ce ne si ne fa nulla senza sapere cosa significhi e da cosa derivi.

In ogni caso è necessario un consenso visto che il dato clinico potrebbe essere in grado già di per sè di individuare uno specifico soggetto in barba alla pseudonimizzazione compita eliminando i dati personali espliciti quali nome e cognome.

La vergogna è che rompano le scatole a qualsiasi sitarello per i cookies e poi questi lascino aperte le porte dei server con dati particolari sanitari, al netto di ogni forma di benaltrismo sarebbe comunque bene di preoccuparsi delle vere emergenze privacy.
Tasslehoff13 Gennaio 2020, 23:51 #5
Originariamente inviato da: 3000
Beh, tutte le immagini mediche, prive del nome del paziente, dovrebbero essere rese semplicemente pubbliche in modo che ognuno possa fare le proprie ricerche facendosi aiutare della IA:
la Conoscenza è IL Tesoro.
Per cortesia piantiamola con questa supercazzola (o buzzword se preferisci) della IA, ormai i "guru" della comunicazione ce la piazzano ovunque ci sia un briciolo di logica applicativa, fosse anche uno stupido ciclo if... e giornalisti e pubblico seguono a ruota ululando a Skynet durante le notti di luna piena...
Siamo seri per favore.

Riguardo alla notizia vorrei fare una piccola precisazione per chiarire perchè accadono queste cose, visto che lavoro anche in questo campo, e come è risaputo nel nostro paese la sanità è (per fortuna aggiungerei) soprattutto PA (non che nel settore privato cambi molto visto che tende a risparmiare persino sulla nutrizione parenterale, spesso aggravando la condizione dei pazienti per risparmiare due lire... ).

Signori, rendiamoci conto che la fornitura di servizi informatici alla PA è stata ridotta al livello dei lavori stradali... già, proprio quelli che sono alla base di crolli di viadotti, gallerie da cui crollano soffitti e strade in uno stato da paese del terzo mondo.
L'accoppiata di gare al ribasso e tariffe stabilite in modo centralizzato (leggasi CONSIP) ha portato a gare dove le tariffe di partenza per figure senior (sviluppatori, sistemisti, analisti, specialisti di prodotto) sono INFERIORI ai minimi tabellari previsti dai CCNL (in genere metalmeccanico e commercio/servizi).

Questa è la realtà, gare assegnate con tariffe inferiori al minimo sindacale previsto dalla contrattazione collettiva, in questa condizione come pensate sia possibile garantire, non dico sicurezza, ma anche solo la banale funzionalità dei sistemi e dei servizi previsti dalla fornitura?

A questo aggiungete che le gare sono quasi sempre sottoposte a vincoli tali da permettere la partecipazione solo a grossi gruppi che non hanno alcuna capacità tecnica produttiva, ergo gente che non fa assolutamente nulla se non presenziare a riunioni, firmare contratti e applicare il proprio markup a qualsiasi attività (quindi con costi ridicoli, spesso zero).
Tutto viene portato avanti da PMI in subappalto, spesso con vincoli assurdi e da strozzinaggio (la prassi è: io pago l'azienda in subappalto solo quando l'ente salda le mie fatture, ergo spesso dopo più di 1 anno, con buona pace dei proclami secondo cui la PA dovrebbe pagare entro 30gg), studiati a tavolino per scaricare tutto il rischio d'impresa sull'ultima ruota del carro.

Quindi ragazzi miei, quando sentite parlare o leggete notizie (anche su questo sito) su "agenda digitale", "identità digitale", "digitalizzazione della pubblica amministrazione" ripensate a queste mia parole (che qualunque collega che lavora nell'IT per la PA potrà confermare)e baciatevi i gomiti se già esiste qualche servizio, non se il servizio funziona bene ed è sicuro.
paoloff14 Gennaio 2020, 08:29 #6

malcostume

in italia finiscono spesso in rete per negligenza e ignoranza...il caso tipico è l'invio via whatsapp (con tutti i dati in chiaro) di radiografie e consulenze verso specialisti...magari reperibili a casa e che devono decidere se disturbarsi di persona..
300014 Gennaio 2020, 09:14 #7
C'è da rimanere basiti dalla poca Conoscenza della sostanza delle cose che dimostrate: prestissimo, sarà l'IA a capire che malattia si ha partendo dalle analisi, non sarà più il medico in carne ed ossa. Esattamente come già sta avvenendo nella Giustizia, dove oramai i migliori studi mondiali iniziano ad avere dei software che analizzano le cause e i precedenti a livello globale.
Roba dell'altro mondo dover leggere certe cose su un sito come questo, soprattutto di floc (il quale dovrebbe evitare di esporsi facendo il finto influencer perché potrebbe trovarsi davanti proprio chi con la Scienza porta da mangiare a casa…) e ancora più assurdo che metà delle cose scritte tralasciano che nel PRIMO mess è stato chiaramente detto "privo del nome del paziente" che non vedo cosa altro poteva significare se non "senza alcun dato personale"... ma che problemi avete
Marko_00114 Gennaio 2020, 11:24 #8
@3000
forse è meglio se rilegge quello che ha scritto floc
le sole immagine senza una anamnesi che definiscano il quadro clinico,
e quindi le posizionino all'interno di casistiche che sono la
base su cui in intervento automatizzato si possa muovere,
servono quanto un velo della carta igienica preferita.
e vaneggi meno su AI nella giustizia (cosa che poi al momento
"sperano funzioni" solo per i paesi con un certo tipo di sistema giudiziario
dove il passato diventa legislazione -ovvero le casistiche che indicavo sopra-
[non certamente in quello italiano])
un esempio
https://cyber.harvard.edu/story/201...mpact-2017-2019
leggere la voce 2.
zerothehero14 Gennaio 2020, 11:44 #9
Originariamente inviato da: Tasslehoff
Per cortesia piantiamola con questa supercazzola (o buzzword se preferisci) della IA, ormai i "guru" della comunicazione ce la piazzano ovunque ci sia un briciolo di logica applicativa, fosse anche uno stupido ciclo if... e giornalisti e pubblico seguono a ruota ululando a Skynet durante le notti di luna piena...
Siamo seri per favore.

Riguardo alla notizia vorrei fare una piccola precisazione per chiarire perchè accadono queste cose, visto che lavoro anche in questo campo, e come è risaputo nel nostro paese la sanità è (per fortuna aggiungerei) soprattutto PA (non che nel settore privato cambi molto visto che tende a risparmiare persino sulla nutrizione parenterale, spesso aggravando la condizione dei pazienti per risparmiare due lire... ).

Signori, rendiamoci conto che la fornitura di servizi informatici alla PA è stata ridotta al livello dei lavori stradali... già, proprio quelli che sono alla base di crolli di viadotti, gallerie da cui crollano soffitti e strade in uno stato da paese del terzo mondo.
L'accoppiata di gare al ribasso e tariffe stabilite in modo centralizzato (leggasi CONSIP) ha portato a gare dove le tariffe di partenza per figure senior (sviluppatori, sistemisti, analisti, specialisti di prodotto) sono INFERIORI ai minimi tabellari previsti dai CCNL (in genere metalmeccanico e commercio/servizi).

Questa è la realtà, gare assegnate con tariffe inferiori al minimo sindacale previsto dalla contrattazione collettiva, in questa condizione come pensate sia possibile garantire, non dico sicurezza, ma anche solo la banale funzionalità dei sistemi e dei servizi previsti dalla fornitura?

A questo aggiungete che le gare sono quasi sempre sottoposte a vincoli tali da permettere la partecipazione solo a grossi gruppi che non hanno alcuna capacità tecnica produttiva, ergo gente che non fa assolutamente nulla se non presenziare a riunioni, firmare contratti e applicare il proprio markup a qualsiasi attività (quindi con costi ridicoli, spesso zero).
Tutto viene portato avanti da PMI in subappalto, spesso con vincoli assurdi e da strozzinaggio (la prassi è: io pago l'azienda in subappalto solo quando l'ente salda le mie fatture, ergo spesso dopo più di 1 anno, con buona pace dei proclami secondo cui la PA dovrebbe pagare entro 30gg), studiati a tavolino per scaricare tutto il rischio d'impresa sull'ultima ruota del carro.

Quindi ragazzi miei, quando sentite parlare o leggete notizie (anche su questo sito) su "agenda digitale", "identità digitale", "digitalizzazione della pubblica amministrazione" ripensate a queste mia parole (che qualunque collega che lavora nell'IT per la PA potrà confermare)e baciatevi i gomiti se già esiste qualche servizio, non se il servizio funziona bene ed è sicuro.


Dato che la vulgata è che da noi la corruzione è totale, la soluzione che hanno trovato è quella di produrre a ciclo continuo leggi, regolamenti e circolari per normare ogni singolo atto amministrativo, di fatto impedendo una efficiente erogazione del servizio.

Se la ratio è il massimo ribasso in un contesto di competizione "iperburocratica" è chiaro che fai fuori i piccoli a vantaggio dei grossi e di chi è in grado di gestire tutti gli adempimenti.

In compenso TORTURANO tutti gli enti (scuole comprese) con indici di tempestività dei pagamenti, RDO a breve pure per materiale di cancelleria, anagrafe di qua e di là e millemila adempimenti perfettamente inutili che forse vanno bene per grosse stazioni appaltanti.

Il nostro paese ha due grossissimi problemi, il primo è la spesa (sia in sanità che in istruzione abbiamo una spesa inferiore alla media dei paesi ocse), il secondo è la montagna di adempimenti perfettamente inutili cui le stesse pubbliche amministrazioni devono adempiere.

Come se per comprare dei computer servisse andare su consip..tutte cose imposte dalla burocrazia centrale che sono di ostacolo per l'efficienza della macchina pubblica...non a caso non riusciamo a spendere i fondi pon/fesr proprio per l'esagerata mole di adempimenti richiesti. https://www.ilsole24ore.com/art/tra...unciano-ACz8HBP

A fine agosto si sono inventati la COMPARAZIONE della messa a disposizione, in modo tale da bloccare le nomine del personale docente qualora si volesse davvero rispettare quella circolare..
benderchetioffender14 Gennaio 2020, 11:50 #10
a questo punto, vista l'anda che ha preso la discussione, spero vivamente usino una IA ( e non, ovvio) per dare un bel multozzo ai produttori di strumenti almeno...visto che a quanto pare disattendono le specifiche disegnate a monte

per i problemi di implementazione, direi che il post di @Tasslehoff basta e avanza

capisco il problema visto da quel punto di vista, anche se credo che il problema vero della -non digitalizzazione- italiana risieda nel non aver capito i concetti chiave da parte dello Stato

- chi garantisce sicurezza? Lo Stato, no contractor privati
non vedo perchè lo Stato non possa occuparsi in prima persona dei server con dati personali, invece di demandare a ogni regione il lavoro che poi rimbalza a sua volta sull'ente che fà un pò quel -**zzo che gli pare (giustamente), creando una kasba di standards e sistemi diversi....

e dico, per tutto èh, si dovrebbe fare dall'anagrafe alla ricetta medica, allo scontrino digitale
questa sarebbe un italia digitalizzata, dove lo Stato ha il potere di cambiare le leve giuste potendo analizzare i dati -abbastanza- reali del suo paese
invece andiamo avanti a powerpoint piramidali.....

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^