Radiologiebeelden wereldwijd steeds vaker open en bloot op internet

radiologebeeldenRuim een miljard bestanden van radiologiebeelden zijn over de hele wereld vrij toegankelijk voor derden. Het klinkt onwaarschijnlijk, maar is het niet.  Ondanks uitgebreide waarschuwingen in september 2019 blijkt het aantal bestanden dat vrij toegankelijk is op het internet toch toe te nemen. Nederland maakt daarbij een goede beurt. De eerder gevonden servers waarop de beelden in DICOM-formaat te vinden waren zijn nu afdoende beveiligd. Helaas de op de Nederlandse Antillen openstaande server niet. Het online magazine Techcrunch publiceerde op 10 januari 2020 een artikel, genaamd: “A billion medical images are exposed online, as doctors ignore warnings” Het artikel beschrijft een vervolgonderzoek dat twee maanden na het geruchtmakende eerste onderzoek in september plaats vond. Publicatie van het rapport vond plaats op de website van het bedrijf Greenbone Networks. Dat houdt zich bezig met netwerkbeveiliging. De vrij toegankelijke bestanden vormen om meerdere redenen een gevaar voor de patiënt.

Hoe is het mogelijk?

Radiologiebeelden, zoals röntgen-, MRI-, CT-, ultrageluid-bestanden slaat men op zogenaamde PACS-servers op. PACS staat voor Picture Archiving And Communication. Het protocol waarmee die foto’s op die servers staan is het DICOM-protocol. (Digital Imaging and Communications in Medicine). Dit alles maakt het mogelijk om de beelden makkelijk uit te wisselen. Te makkelijk dus, want veel zorginstellingen en radiologen negeren cybersecurity-adviezen en richtlijnen. Ze koppelen de PACS-servers zonder wachtwoord op het internet. Via openbaar toegankelijke zoekmachines zijn die servers benaderbaar. Het gaat bijv. om www.shodan.io en www.censys.io. Even op de eerste zoekmachine zoeken op DICOM levert meteen een aantal hits op. Je kunt gelijk zien dat er machines zijn die zelfs nog op Windows XP draaien. Zie daarvoor de kolom links op de gevonden webpagina.

The Good, The Bad and The Ugly

Het vervolgonderzoek laat zien dat aan de ene kant instellingen hun cybersecurity serieuzer zijn gaan nemen. Aan de andere kant zijn er servers met grote hoeveelheden bestanden bij zijn gekomen. Het vervolgrapport van Greenbone had dan ook de toepasselijke nevenkop gekregen: The Good, The Bad and The Ugly. The Good zijn de landen die alle in het eerste onderzoek gemelde PACS-servers offline haalden en waar geen nieuwe gevonden waren. Tot die groep van elf landen behoorden o.a. Nederland, Duitsland, het V.K.. Bij The Bad gaat het om in totaal 50 landen, waarvan er 45 verbeteringen hadden laten zien, maar waar soms toch nieuwe openstaande PACS-servers gevonden waren. Nummer 1 in The Ugly-groep waren de Verenigde Staten, met verder India, Zuid -Afrika Brazilië en Equador. Voor de V.S. is het des te bizarder dat zij in deze groep zitten aangezien er duidelijke federale wetgeving(HIPAA uit 1996) is die beveiliging verplicht stelt.

Onaanvaardbare risico’s

Het grootste probleem met de openstaande servers is de diefstal van iemands (medische) identiteit. In een uitgebreid artikel gaat het online-magazine The Mighty op 11 januari 2020 in op alle consequenties daarvan. Bestanden kunnen ook gewijzigd worden. Niet alleen ten aanzien van de te naam stelling maar ook de radiologie-beelden kunnen gemanipuleerd worden. Door beide methodes  kunnen patiënten diagnoses toebedeeld krijgen die niet conform de werkelijkheid zijn. Er kan ook verzekeringsfraude mee gepleegd worden, naast misbruik bij apotheken bijv. in de vorm van malicieuze prescriptie van opiaten. Door al deze narigheid kan er zelfs een situatie ontstaan waarbij de burger minder bereid is medische informatie te delen of hulp te zoeken uit angst dat die data in verkeerde handen terecht kunnen komen. De schrijfster van het artikel doet ook een oproep aan patiënten om hun zorgaanbieders te bevragen en aan te spreken op onveilige opslag van radiologiebeelden.

Onverminderde actie nodig

Het vervolgonderzoek van Greenbone  laat enerzijds zien dat na waarschuwen zorginstellingen en toezichthouders in landen hun taken serieuzer zijn gaan oppakken. Anderzijds blijkt er nog steeds sprake te zijn van een onbegrijpelijke verwaarlozing van de principes van cybersecurity. Het feit dat er wereldwijd veel meer bestanden vrij toegankelijk zijn dan na de eerste waarschuwing van Greenbone stemt de mens somber.

W.J. Jongejan, 13 januari 2020

Afbeelding van toubibe via Pixabay