Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Две тысячи серверов, совокупно хранящих 45 млн рентгеновских снимков и других результатов медицинских обследований, в течение года находились в публичном доступе без каких-либо средств защиты. На некоторых из этих ресурсов были обнаружены откровенно вредоносные скрипты.

Выявить масштабный слив конфиденциальной информации помогло исследование, проведенное в CybelAngel — компании, специализирующейся на предоставлении услуг по управлению рисками. Целью исследования являлось определение уровня защищенности сетевых хранилищ (NAS) и связи по протоколу DICOM (Digital Imaging and COmmunications in Medicine) — стандарту де факто, который медики используют для передачи и обработки данных.

За полгода аналитики просканировали около 4,3 млрд IP-адресов и выявили более 2140 общедоступных серверов, на которых суммарно хранилось свыше 45 млн уникальных DICOM-изображений. Эти серверы были размещены в 67 странах, в том числе в США, Великобритании, Франции и Германии.

Каждый медицинский скан сопровождался записью, содержащей персональные данные пациентов, а также сведения о состоянии здоровья, полученной медицинской помощи и оплате таких услуг. В большинстве случаев доступ к этой информации не требовал пароля, а на порталах, предусматривающих регистрацию, войти можно было, не заполняя поля логина и пароля.

Как оказалось, специализированные сервисы тоже не застрахованы от ошибок, грозящих утечками. Один из поставщиков платных услуг по безопасному хостингу DICOM-изображений забыл защитить службу NFS (Network File System, сетевая файловая система) на порту 2049 и в итоге слил в интернет порядка 500 тыс. файлов.

Исследователи предупреждают, что публичный доступ к конфиденциальным данным провоцирует мошенничество, вымогательство и шантаж. Халатное отношение к защите такой информации также может грозить провайдеру санкциями — за нарушение GDPR (General Data Protection Regulation, регламент ЕС о защите данных) или HIPAA (Health Insurance Portability and Accountability Act, американский Закон о сохранении медицинского страхования и персонифицированном учёте в здравоохранении).

Обеспечить безопасность хранения и передачи данных, по мнению экспертов, помогут следующие меры:

  • введение и контроль соблюдения строгих политик доступа к NAS-устройствам и приложениям для обмена файлами;
  • сегментация сетей с подключенным к интернету медицинским оборудованием, предельное ограничение доступа к критически важным средствам диагностики;
  • проведение аудита у подрядчиков для выявления случаев нарушения отраслевых стандартов и нормативов;
  • проведение работ по оценке защищенности данных, определению рисков и приоритетных проблем с привлечением сторонних экспертов.

В России запретили вход через Google и Apple ID: сайтам пора менять кнопки

С 7 июля 2026 года в России вступил в силу закон, который запрещает российским сайтам и приложениям использовать для аутентификации новых пользователей иностранные сервисы (например Google, Apple ID и другие зарубежные инструменты). Теперь компаниям придётся опираться на отечественные варианты, а за игнорирование требований предусмотрены штрафы.

Важно: обычных пользователей за вход через зарубежные сервисы штрафовать не будут.

Ответственность установлена для владельцев сайтов и приложений — юрлиц и физлиц. Уже созданные аккаунты, зарегистрированные через иностранную почту или сервисы, продолжат работать. Панически бежать и пересоздавать профиль, заведённый через Google, не нужно.

По новым правилам аутентификация пользователей на территории России должна проходить через российский номер телефона, портал «Госуслуг», единую биометрическую систему или информационную систему, владельцем которой является гражданин РФ либо российское юридическое лицо.

За нарушение требований предусмотрены штрафы: для граждан — от 10 до 20 тысяч рублей, для должностных лиц — от 30 до 50 тысяч рублей, для юрлиц — от 500 до 700 тысяч рублей. При повторном нарушении компаниям может прилететь уже до 1,4 млн рублей.

Юристы уточняют, что норма применяется не ко всем подряд сайтам в интернете. Закон работает при одновременном соблюдении трёх условий: ресурс принадлежит гражданину РФ или российской компании, бизнес ведётся на территории России, а доступ к контенту открывается только после аутентификации.

RSS: Новости на портале Anti-Malware.ru