DICOM képeket hamisítottak. Tényleg?

Közösségek - Informatika | 2020. február 16. 18:46 | Utolsó módosítás dátuma - 2023. november 03. 15:30 | Forrás: https://www.ajronline.org/doi/10.2214/AJR.19.21958

Az egészségügyi ellátásban is az egyre növekvő információtömeg lehetőséget ad a sebezhetőségre. Lényeges, hogy a radiológusok is tudják, hogy esetenként olyan rendszereket használnak, amelyek megváltoztatott, vagy vírusos elemeket tartalmazó adatokat tartalmaznak. Ez a cikk ismerteti a DICOM-képek sérülékenységét, és tárgyalja azokat a követelményeket, amelyek szükségesek ezeknek a képeknek a kibertámadásokkal szembeni megfelelő védelméhez. Kiemelt fontosságú a DICOM-képek megfelelő védelme a támadások és a manipulációk ellen. A cikkben ismertetett megoldások támpontot adnak e cél eléréséhez.

DICOM képeket hamisítottak. Tényleg?

Szinte mindennapos hírként hallhatunk arról, hogy hackerek újabbnál újabb vállalatok biztonságát megtörve személyes adatokhoz jutnak hozzá. Ezek birtokában lehetőségük nyílik személyazonosság-lopásokhoz, csalásokhoz, mindezek többmillió dolláros perekhez vezethetnek. Ezeknek a jogsértéseknek nagyrésze egészségügyi nyilvántartást érint. Az elmúlt 10 évben közel 3000 jogsértés történt az Egyesült Államokban, leginkább hackelésből, amelyek mindegyike több, mint 500 egészségügyi nyilvántartást tartalmazott. Például 2015-ben, Anthemnek, az amerikai egészségbiztosító társaságnak a feltörése lényegében 78 millió amerikai orvosi nyilvántartást fedett fel és 115 millió dolláros kártérítéssel járt.

A radiológusok a ransomware-ről is hallhatnak, amely olyan szoftver, amelyet a hackerek kórházak, vállalatok és önkormányzatok adatainak túszul tartására használnak mindaddig, amíg pénzt nem fizetnek az adatokhoz való hozzáférés visszaszerzéséhez. Baltimore városát nemrégiben ransomware támadás érte, amely súlyos zavarokhoz vezetett a napi önkormányzati ügyvitelben. 2017 májusában és júniusában a Wannacry és a NotPetya ransomware támadás világszerte több ezer intézményt érintett, köztük számos kórházat, összesen 18 milliárd dolláros kárt okozva.

2017 júniusában egy amerikai kormányzati munkacsoport jelentést adott ki az egészségügyi ellátás kiberbiztonságának helyzetéről az Egyesült Államokban. A jelentés egy kritikus helyzetet tárt fel, amely megmutatta a biztonsági előírások hiányát, a berendezések elöregedését, valamint a sebezhetőségi pontokat. A sérülékenység okát a számítógépekben, a hálózatokban, az orvostechnikai eszközökben és az emberekben találták. A közelmúltig a radiológiai képek az ismert sebezhetőségük ellenére még nem kerültek semmiféle nagyobb támadás célpontjává. 2019. márciusában és áprilisában a DICOM két fő felhasználásáról számoltak be, melyek hangsúlyozzák a DICOM-képekkel kapcsolatos biztonsági problémák kezelésének fontosságát.

Ebben a cikkben bemutatjuk a radiológiában használt DICOM-képek és a DICOM szerverek (pl. PACS) alapelemeit, megvitatjuk a biztonság, a sebezhetőségek és a támadások alapelemeit, és javaslunk megoldásokat. Ezt a cikket radiológusok, kiberbiztonsági szakértők és a DICOM biztonsági vezetői írták. Céljuk, hogy az egész radiológiai közösség tudomást vegyen az egyre jobban terjedő digitális támadásokról, illetve azok mindennapi következményeiről. Noha a DICOM-adatok ugyanolyan általános sebezhetőségnek vannak kitéve, mint más típusú adatok, ez a cikk szigorúan a DICOM-adatokra korlátozódó biztonsági résekre és azok hálózatokon történő továbbítására összpontosít. A következő kérdésekre válaszolunk: Melyek a DICOM képek sérülékeny pontjai? Mi szükséges a biztonsághoz? Mennyi biztonság van beépítve a DICOM szabványba? Milyen biztonsági elemek hiányoznak? Melyek a kockázatok és milyen támadások fordulhatnak elő? Hogyan tehetjük biztonságosabbá a DICOM-ot?

DICOM szabvány

Az 1980-as években az Amerikai Radiológiai Egyetem és a Nemzeti Elektromos Gyártók Szövetsége egyesítette erőit a radiológiai képtárolás és -átvitel szabványának kidolgozására, amely lehetővé tette a több gyártó által gyártott képalkotó eszközök, adattárolók, PACS, munkaállomások, nyomtatók és más rendszerek integrációját. A szabvány korai verziója 1983-ban és 1985-ben jelent meg, és azóta folyamatosan tökéletesítik. Ezt a szabványt DICOM-nak (digitális képalkotás és kommunikáció az orvostudományban) hívják. A DICOM meghatározza, hogyan továbbítják a képeket hálózat segítségével eszközök között, és hogyan tárolják a képeket hordozható adathordozón, például CD-n. A DICOM nem határozza meg, hogy a képek hogyan tárolódnak belsőleg az archívumokban, vagy eszközökön. 1999-től kezdve néhány alapvető biztonsági funkciót hozzáadtak a szabványhoz.

A DICOM szabvány alapvető eleme a DICOM objektum (1. ábra), amely jellemzően egy képet ábrázol. A DICOM objektum magában foglalja a nyilvános és a privát képalkotási jellemzőket, a pixeladatoknak megfelelően. A nyilvános attribútumok tartalmazzák a képalkotó eszköz paramétereit (pl. az eszköz neve, sugárdózis és a cső feszültsége), a képalkotó paramétereket (pl. szeletvastagság, sorok és oszlopok száma), valamint a beteg paramétereit (pl. név, életkor, nem és azonosítók). A nyilvános jellemzőket a legtöbb eszköz értelmezi. A DICOM objektum ezen kívül általában gyártóspecifikus privát attribútumokat is tartalmaz.

A DICOM objektumokat hálózatokon továbbítják (mozgásban lévő adatok) DICOM üzenetek formájában (1. ábra), amelyek egy DICOM parancssort és egy DICOM objektumot tartalmaznak. A parancssor olyan alapvető műveleteket tartalmaz, mint például a „kép tárolása”, így az eszközöket utasítani lehet, hogy mit tegyenek a kapott DICOM objektummal.

A DICOM objektumokat a médián tárolják DICOM fájlokként (nyugalmi adatok) (1. ábra), amelyek fejlécet és DICOM objektumot tartalmaznak. A fejléc tartalmaz egy 128 bájtos bevezetést (preambulumot), DICM címkét és néhány extra DICOM attribútumot. A bevezetés általában üres, és a nem DICOM szoftverek használják, hogy segítsék a DICOM kép olvasását. A PACS-on és az archívumokban tárolt DICOM-objektumok használhatják a DICOM-fájlstandardot, vagy más tárolási szabványokat.

A DICOM szerverek (2. ábra) olyan számítógépek, amelyek DICOM-szolgáltatást futtatnak, amely olyan szoftver, amely lehetővé teszi a számítógép számára, hogy DICOM-képeket küldjön és fogadjon a DICOM-szabványban meghatározott speciális kommunikációs protokoll használatával. Az a szerver, amely nem üzemeltet DICOM szolgáltatást, egyszerűen nem képes DICOM képeket fogadni a DICOM kommunikációs protokollon keresztül. Minden képalkotó eszköz rendelkezik számítógéppel, amely rendelkezik DICOM kliens szoftverrel, amely képeket küldhet a DICOM szerverre.

1Kép

Alapvető biztonsági koncepciók

Az információbiztonság fő feladatkörét úgy is ismerhetjük, mint a CIA hármasa. A CIA a titoktartásnak (confidentiality), sértetlenségnek (integrity) és elérhetőségnek (availability) a rövidítése.

3Kép

Titoktartás
A titoktartás célja, hogy bizonyos információkat nem hoznak nyilvánosságra jogosulatlan személyek számára. Ez fontos, mivel a radiológiai képek védett egészségügyi információkat tartalmaznak. A titoktartást titkosítással érik el (4. ábra), az adatok matematikai átalakításával, a címzett kivételével azok olvashatatlanná válnak. A titkosítás algoritmust és egy, vagy több kulcsot tartalmaz. A kulcs egyszerűen egy hosszú szám, másnéven jelszó. A titkosításnak kétféle típusa van: szimmetrikus és aszimmetrikus. A szimmetrikus titkosítás nagyon gyors algoritmusokat és egyetlen kulcsot oszt meg az adatok forrása és az adatok fogadója között. Ugyanazt a kulcsot használjuk a titkosításhoz és a dekódoláshoz. Az érintetteknek titkosított adatok cseréje előtt meg kell egyezniük, hogyan osztják meg privát úton a kulcsot. Az aszimmetrikus titkosítás lassabb algoritmusokkal dolgozik, két matematikailag kapcsolódó kulccsal: a felhasználó által megtartott privát kulcs és a világgal megosztott nyilvános kulcs szükséges ehhez. A két kulcs egyikét használják a titkosításhoz, a másik kulcsot pedig a dekódoláshoz. A bizalmas adatok biztonságos továbbításához a címzettnek a feladó titkosítja az adatokat a címzett nyilvános kulcsával, majd a címzett dekódolja a titkos kulcsával. A szimmetrikus titkosítás több ezerszer gyorsabb, mint az aszimmetrikus titkosítás.

4Kép

Sértetlenség
A sértetlenség annak ellenőrzése, hogy történt-e adatmódosítás, vagy képmanipuláció. A sértetlenséget digitális aláírásokkal erősítik meg (5. ábra), ehhez egy hosszú számot (azaz egy kivonatot) generálnak, majd egy matematikai transzformáció után aszimmetrikus titkosítás történik, amely digitális aláírást generál. Az adatokban történő bármilyen változás esetén eltérő kivonatot kapunk, illetve a titkosításhoz használt kulcsban bekövetkező bármilyen változás más digitális aláírást eredményez. Amikor a feladó adatokat továbbít a címzettnek, és a címzett meg akarja erősíteni a kapott adatok sértetlenségét, a feladó alkalmazza a kivonat funkciót az adatokra, és a kapott kivonatot a feladó privát kulcsával titkosítja, ezzel digitális aláírást hoz létre. Ezt a digitális aláírást továbbítják a címzettnek, aki a feladó nyilvános kulcsával dekódolja azt. A címzett ugyanazt a hash-funkciót alkalmazza a kapott adatokra is. Ha az eredmény megegyezik a küldő dekódolt digitális aláírásával, ez megerősíti az adatok sértetlenségét.

A sértetlenség fogalma magában foglalja a hitelesítést is, amely annak biztosítása, hogy az információ megbízható forrásból származik. A hitelesítéshez digitális aláírást kell használni, gyakran párhuzamosan egy digitális tanúsítvánnyal, amely a feladó nyilvános kulcsának jóváhagyott változata egy központi igazoló hatóságtól. A digitális aláírás bizonyítja, hogy a nyilvános kulcs tulajdonosától származnak az adatok, és a tanúsítvány hivatalosan megerősíti, hogy ki a tulajdonos.

5Kép

Elérhetőség
Az elérhetőség garantálja az információkhoz való megbízható hozzáférést az engedéllyel rendelkező személyek számára. Például a ransomware megakadályozhatja a radiológiai képekhez való hozzáférést. Az elérhetőséget többszintű rendszervédelem biztosítja, amely megakadályozza, hogy a ransomware átvegye ezeket a rendszereket, az adatok túszul tartását illetve a redundanciát (például biztonsági másolatot).

Biztonsági opciók a DICOM szabványban

Jelenleg a DICOM 32 munkacsoporttal rendelkezik, amelyek a szabvány különféle aspektusainak fejlesztésére összpontosítanak (például számítógépes tomográfia, mágneses rezonancia, 3D, fizika, biztonság, stb.). A DICOM 14. munkacsoportja (WG-14) foglalkozik a DICOM biztonságával kapcsolatos összes szemponttal, amelyek a DICOM szabvány 15. részében találhatók. A WG-14 jelenleg három fő biztonsági funkciót foglal magában a DICOM szabványban: biztonságos átvitel, digitális aláírások és a DICOM fájlok biztonsága a médián és az e-maileken.

Biztonságos átvitel

A biztonságos továbbítás protokolljait bevezették a DICOM szabványba. Idővel mindegyiket visszavonták, csak egy maradt meg: a szállítási réteg biztonsága (TLS, transport layer security). A TLS egy lassú, aszimmetrikus titkosítás a kapcsolat, illetve a felek hitelesítésére, valamint a megosztott kulcs és a gyors szimmetrikus titkosítás kombinálására a DICOM üzenetek cseréjéhez. A csatlakozási tanúsítványok garantálják az érintett felek hitelesítését. A titkosítást a titoktartás, a titkosított kivonatot pedig a sértetlenség biztosítására használják. A TLS-t nem a DICOM WG-14 fejlesztette ki, de ez egy olyan szabvány, amelyet széles körben használnak az internetes kommunikációban (gyakran „https: //” használata esetén).

Digitális aláírások

Az előző szakaszban említett digitális aláírásokat a DICOM szabványba beillesztették. A teljes, vagy részleges DICOM objektumokra kiszámítják őket a sértetlenség és azonosítás végett. A gyártók ezt nagyrészt figyelmen kívül hagyják, és nem teljesítik.

A DICOM fájlok biztonsága a médián és az e-maileken

A média és e-maileken küldött DICOM fájlok alapvető biztonságát a DICOM szabványba beillesztették. Ehhez a DICOM fájlokat titkosítják, és megadják a kulcsok elérhetőségét. A gyártók ezt nagyrészt figyelmen kívül hagyják, és nem teljesítik.

A biztonsági funkciókhoz, például a titkosításhoz és a digitális aláírásokhoz olyan kulcs- és igazolványrendszert kell használni, melyet nehéz kezelni, jelentős költségekkel jár és hálózati bonyolultságot igényel. Ez a fő oka annak, hogy a biztonsági funkciókat a gyártók nem vezették be. Kulcsokat tartalmazó biztonságos szervert kell telepíteni, amely lehetővé teszi a kulcsok állandó működését. Két szervezési probléma megoldására van szükség: a kulcsok tárolására, beszerzésére és visszaállítására, valamint a kulcsot kérő emberek hitelesítésére.

A DICOM szabvány soha nem érvényesíti a biztonságot; csak biztosítja. A gyártók szabadon alkalmazhatják a szabvány részeit, ha azt megfelelőnek ítélik meg. A DICOM bizonyos részeit mindenképpen be kell építeni, például az alacsony szintű kommunikációs protokollt. A legtöbb DICOM-kép nem tartalmaz rejtett biztonságot, így a védelmük az intézményi hálózatok és az archívumok biztonságától függenek. Ezeknek a hálózatoknak és archívumoknak a biztonsága megbukhat, ezzel utat nyitva a támadásoknak.

Legutóbbi támadások és biztonsági rések

A cikk írásakor a szakirodalomban négy fontos, radiológiai képeket érintő támadásról számoltak be: kettő közülük hozzáférési támadás, a másik kettő pedig adatinjekciós támadás volt. A biztonsági kutatók jelentései szerint ezek a támadások a biztonsági rések miatt jöhettek létre.

Adathozzáférési támadások

Több kórház hálózata rosszul védett, és kívülről is elérhető. 2017-ben a Massachusetts Általános Kórház egy csoportja 22 órán belül átvizsgálta a teljes internetes címlistát (4 milliárd címet) a védetlen DICOM szerverek azonosítására (Pianykh OS, Észak-Amerika Radiológiai Társaságának 2017. évi éves ülése). A világon 2782 védetlen szervert találtak, amelyek többsége az Egyesült Államokban található. A kiszolgálók közül 821 rendszer nyitott volt DICOM kapcsolatra, 750 esetben pedig lehetőség volt a betegekkel kapcsolatos információk felkutatására is. 2018-ban a McAfee biztonsági társaság kutatója Shodan néven ismertté vált internetes kereső eszközt használt a védelem nélküli DICOM szerverek megtalálására. Több mint 1100 ilyen kiszolgálót talált közvetlenül az internethez kapcsolódva, védelem nélkül. Legtöbbjük az Egyesült Államokban található. Lehetősége volt letölteni a DICOM képeket, és a hozzáférhető adatok felhasználásával akár 3D modellt is kinyomtathatott valaki csontos medencéjéről.

Egyéb adathozzáférési biztonsági rések

Ha a kórházi hálózat kívülről jól is védett, a hackerek könnyen bejuthatnak a kórházba, és csatlakozhatnak egy laptoppal a kórházi hálózathoz bármilyen szabványos Ethernet csatlakozón keresztül. Innentől kezdve egyszerűen lekérhetők a DICOM fájlok a DICOM szerverekről és archívumokból. Egyes kórházak az ilyen lekérdezéseket az azonos paraméterekkel rendelkező, jogszerű felhasználókhoz kapcsolódó, meghatározott célállomásokra korlátozzák, de ezekhez a paraméterekhez könnyű hozzájutni.

Adatinjekciós támadások

2019 márciusában egy biztonsági kutató bebizonyította, hogy egy támadó hogyan képes mély tanulás segítségével automatikusan adatot eltávolítani, vagy ráinjektálni a CT, vagy MR képekre a szkennerről a PACS-ra történő DICOM üzenet átvitele során (6. ábra). A támadáshoz két mély idegi hálózatot használt: az egyiket az injekcióhoz, a másikat az eltávolításhoz. A megváltozott képek valóságossága becsapta a képeket áttekintő radiológusok 99% -át. Noha a mély tanulást a múltban videók és képek hamisítására használták, ez volt az első alkalom, hogy az orvosi területen a 3D DICOM képeket titokban manipulálták.

6Kép

2019 áprilisában egy biztonsági kutató kifejlesztett egy technikát, hogy vírust rejtsen el a DICOM fájlban (7. ábra), a preambulumban (ez szükséges ahhoz, hogy a DICOM képek egy nem DICOM szoftveren is értelmezhetők legyenek). A preambulum hasznos funkció, de kihasználható. Létrehozta a PEDICOM hibrid formátumot (a „PE” jelöli a Windows alatt futtatható fájlt), a 128 bájtos preambulumot egy fejlécre cserélte, amely képes egy parancs végrehajtására, majd a vírusos kódokkal a DICOM fájl magánjellemzőit lecseréli, vagy létrehozza. A nyilvános attribútumok és a képalkotó adatokat ez nem érinti. A módosított fájl normál DICOM fájlként viselkedett; beolvasható volt a PACS-on és egy munkaállomáson is, megjeleníti a képeket, mindezt a hamisítás gyanúja nélkül. A Windows parancssorból történő indításkor azonban a vírusos program betöltődik, ami a számítógépes rendszert veszélyezteti.

7Kép

Egyéb adatinjektálási biztonsági rések

Számos további befecskendezési biztonsági rés van, amelyek befolyásolhatják a DICOM objektumokat, a DICOM fájlokat és a DICOM üzeneteket. A személyazonosítás hamisításakor a DICOM objektum nyilvános attribútumait módosítják, hogy megváltoztassák a beteg nevét és azonosítóit, és elküldjék a fájlt hamis nyilvántartásba. A szolgáltatásmegtagadási támadás több millió DICOM üzenetet küld a DICOM szerver túlterheléséhez, ami szolgáltatásmegtagadást eredményez. A puffer túlcsordulási támadásokhoz sérült DICOM üzeneteket küldenek a fogadáshoz fenntartott kiszolgáló memóriaterületének túlírására. Végül ismeretes egy CD automatikus betöltési szabotázs, amely során módosul a DICOM fájlokkal ellátott CD automatikus betöltési kódja, így amikor a CD betöltődik, az átveszi az irányítást a számítógép felett.

A sérülékenységek enyhítése

A biztonsági kutatók által a közelmúltban elkészített DICOM támadások olyan koncepció bizonyítékai, amelyek célja a világ figyelmeztetése a lehetséges manipulációkra, még mielőtt a hackerek széles körben munkához látnának. E sebezhetőség csökkentése érdekében mindenkinek ki kell venni a részét, a DICOM biztonsági vezetőktől kezdve a radiológusokig, mint végfelhasználók és leletezők.

DICOM biztonsági vezetők

A DICOM WG-14 jól ismeri a DICOM üzenetek és DICOM fájlok jelenlegi sebezhetőségét, és nyomon követi a lehetséges jövőbeli biztonsági réseket. Havonta ülésezik, céljuk a biztonsági jelentések, az átmeneti biztonsági jelentések, valamint a javasolt fejlesztések áttekintése, a szabvány javításával és fejlesztésével kapcsolatos munkák áttekintése, a kivitelezők és a felhasználók oktatási anyagának felülvizsgálata. A munka nagy része a DICOM szabvány új szolgáltatásaival kapcsolatos biztonsági szempontok felülvizsgálatával foglalkozik. A WG-14 jelenleg két fő kezdeményezésre összpontosít.

Az első kezdeményezés a kulcsok és a tanúsítványok kezelésére vonatkozik. Az összes jelenlegi DICOM biztonsági funkció kulcsot és tanúsítványt igényel a titoktartás és a sértetlenség fenntartása érdekében, és kezelésük nagyon összetett feladat. Ez a fő akadálya, hogy ezeket a biztonsági elemeket széles körben nem alkalmazzák. A WG-14 nemrégiben javasolta az automatikus tanúsítványkezelő környezet (ACME) protokoll használatát, amely egyszerűsíti a kulcsok és a tanúsítványok kezelését.

A második kezdeményezés a hálózati biztonság menedzselését foglalja magában. A Nemzeti Biztonsági Ügynökség irányelvek sorát javasolta, amelyeket be kell tartani annak érdekében, hogy a nem kezelhető, nem biztonságos hálózat biztonságosabbá és kezelhetőbbé váljon. A WG-14 ennek tervnek a DICOM szabványhoz történő hozzáigazításán dolgozik.

Gyártók

Néhány biztonsági funkció már része a DICOM szabványnak, de a legtöbb nem használható, mert a gyártók nem alkalmazták őket, ezeket a gyártóktól meg kell igényelni.
Az első feladat a jelenlegi DICOM biztonsági szolgáltatások megvalósítása. Néhány gyártó teljesítette a DICOM üzenetek biztonságos továbbítását, de ezt az összes gyártóra ki kell terjeszteni. Leginkább az intézmények közötti átvitelre alkalmazzák, de az összes belső hálózati átvitelre is be kell vezetni. Miután a WG-14 kulcsok és tanúsítványok kezelésére szolgáló új funkcióit (ACME) beillesztették a DICOM szabványba, a gyártóknak ezeket használniuk kell a digitális aláírások megvalósításához, a média és az e-mailek sértetlenségének és titkosításának biztosítása érdekében.

A második feladat egy digitális aláírás készítő megvalósítása. A digitális aláírás készítőjének nyilvános attribútuma már létezik a DICOM szabványban, amit képalkotó modalitásonként ki kell tölteni a személyes adatok sértetlenségének ellenőrzésére.  A digitális aláírások bevezetése után a gyártóknak nem csak kitölteniük kell ezt a mezőt, hanem minden képet megtekintő szisztematikus ellenőrzését is el kell végezni és jelezni kell, ha az aláírás hiányzik, vagy nem ellenőrizhető.

A harmadik feladat a nem kívánt preambulumok rendszeres törlése a DICOM fájlokból a beágyazott vírusos programok megakadályozása érdekében. Megoldásként javasolták a fájldekonstrukció és -konstrukció technikáit. Az előtagok mindig elvetésre kerülnek, amikor a DICOM-üzeneteket hálózaton továbbítják, mivel a DICOM-üzeneteknek nincs preambuluma (1. ábra), tehát csak a szerveren, vagy az medián tárolt esetekben kell a preambulumot törölni.

Végül, tervezik DICOM kép-validálók alkalmazását, akik ellenőrzik a DICOM objektumok belső konzisztenciáját és határait, megakadályozzák a puffer túlcsordulást és a szolgáltatásmegtagadással járó támadásokat.

Helyi informatikai szakértők

A helyi IT-szakértőknek továbbra is figyelemmel kell kísérniük hálózataikat gyanús tevékenységek szempontjából, és rendszeresen felül kell vizsgálniuk a DICOM naplózást. A helyi IT szakértőknek három fontos hálózati biztonsági területre kell összpontosítaniuk a DICOM sebezhetőségének csökkentése érdekében: felhasználói hitelesítés, hozzáférés-vezérlés, valamint a hálózat és az eszközök láthatósága. A felhasználói hitelesítés a kérést benyújtó felhasználó pontos azonosítására vonatkozik. A több tényezős hitelesítést széles körben kell használni. A hozzáférés-vezérlés korlátozza a felhasználók tevékenységét. Nem szünteti meg a támadásokat, de korlátozza a támadás káros hatásait az egyes felhasználók számára engedélyezett hozzáféréssel. A hálózat és az eszközök láthatóságát tekintve minden belső hálózatnak, a DICOM szervernek és a DICOM eszköznek is láthatatlannak kell lennie a külvilágtól. A DICOM adatcserére korlátozott hozzáférést kell biztosítani a külső együttműködőkkel, vagy gyártókkal.

A biztonságos továbbítás, a felhasználói hitelesítés és a hozzáférés-vezérlés kombinációja nagyon hatékonyan csökkenti számos adatinjekciós és -hozzáférési manipulációt. E két területen kívül a helyi IT-csapatnak a következő szabályzásokat kell felállítania a támadások megelőzése érdekében: a sebességkorlátozókat és a CD automatikus betöltésének letiltását. A sebességkorlátozók szervervezérlők, amelyek meghatározzák, hogy egy adott időszakban maximálisan mennyi adatot lehet elküldeni a hálózaton keresztül, így meg is akadályozhatók a szolgáltatásmegtagadással járó támadások. A CD-k automatikus elindításának letiltása a legtöbb kórházi számítógépen beállítható, ezzel csökkenthető a CD-ken esetlegesen lévő vírusos programok betöltődése.

Radiológusok és szakdolgozók

A radiológusok és szakdolgozók időnként sérült, hiányos adatokkal találkoznak, ilyenkor meghatározott protokollrendszer alapján történik a probléma kezelése, sokszor a szakdolgozók, vagy informatikai szakemberek tudják a hibát elhárítani. A biztonsági rések okán létrejött támadások szintén nehézségekhez vezethetnek, csak sokkal nagyobb károkat okozva. A hozzáférés-szabályozás, az ellenőrző zászlók és a munkafolyamat-riasztások már azonosíthatják ezeket a problémákat, de a radiológusoknak a CIA triádot kell szem előtt tartaniuk.

Először is fontos a titoktartás fenntartása. A laptopon, vagy CD-n lévő összes orvosi képet titkosítani, vagy névteleníteni kell. Soha ne távolról nézzük meg, vagy továbbítsuk az orvosi képeket nyilvános Wi-Fi hálózaton, vagy ha ezt tesszük, akkor használjunk virtuális magánhálózatot, amely az összes kommunikációt titkosítja.

Másodszor, ellenőrizni kell a sértetlenséget. Az egészségügyi ellátás egyre növekvő információs sebezhetőségének korszakába kerülve a radiológusoknak fel kell ismerniük, ha valószínűleg hamisított adatokkal állnak szemben. Ha gyanú merül fel a DICOM képpontok manipulálására, ezt redundáns adatállományok segítségével kell ellenőrizni. Ugyanazok láthatók coronalis vagy a sagittalis rekonstrukciókon, vagy a topogramon? Ha gyanítható, hogy egy DICOM kép meghamisítása történt, használjunk bármilyen korábbi képalkotó felvételt és kórtörténetet annak meghatározására, hogy kiderüljön a képek az adott beteghez tartoznak-e, illetve előfordulhat-e a látott eltérés.

Harmadszor, ellenőrizni kell az eredetiséget. A képalkotó adatok megbízható forrásból származnak? Kockázatot jelent az, ha egy ismeretlen forrásból töltünk be egy CD-t a helyi számítógépre, hiszen a CD-t hamisíthatták, ami lehetővé teszi a vírusos programok automatikus elindítását. A filmkönyvtárak olyan számítógépekkel rendelkeznek, amelyek biztonságosan kinyerhetik a DICOM képeket a CD-ről és betölthetik azokat PACS-ra.

A radiológusok és a szakdolgozók fő felelőssége az, hogy a rendelkezésre álló DICOM biztonsági intézkedéseket beépítsék a berendezések műszaki adataiba és a beszerzési szerződésekbe. Ha a felhasználók nem kérnek biztonsági elemeket, kevés ösztönző van a gyártók számára azok beépítésére.

Következtetés
A kibertámadások várhatóan az elkövetkező években még jobban elterjednek, ami egész kórházak, multinacionális vállalatok, városok és akár országok megbuktatását okozhatja. A radiológusok és a legmagasabb kiberbiztonsági szakemberek által írt cikk betekintést nyújt az orvosi képeket érintő kibertámadások fő következményeiről. Cselekvésre szólít fel mindenkit, ajánlásokat nyújt a terület minden résztvevője számára a kibertámadások által okozott sebezhetőség enyhítésére.

Forrás: DICOM Images Have Been Hacked! Now What?

Benoit Desjardins1, Yisroel Mirsky2,3, Markel Picado Ortiz4, Zeev Glozman5, Lawrence Tarbox6, Robert Horn7 and Steven C. Horii1, American Journal of Roentgenology: 1-9. 10.2214/AJR.19.21958

Referálta: Oláh Enikő

 

 

További cikkek