Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Татьяна Никитина 16 Декабря 2020 - 08:49

...

Свыше 45 миллионов медицинских сканов оказались в открытом доступе

Две тысячи серверов, совокупно хранящих 45 млн рентгеновских снимков и других результатов медицинских обследований, в течение года находились в публичном доступе без каких-либо средств защиты. На некоторых из этих ресурсов были обнаружены откровенно вредоносные скрипты.

Выявить масштабный слив конфиденциальной информации помогло исследование, проведенное в CybelAngel — компании, специализирующейся на предоставлении услуг по управлению рисками. Целью исследования являлось определение уровня защищенности сетевых хранилищ (NAS) и связи по протоколу DICOM (Digital Imaging and COmmunications in Medicine) — стандарту де факто, который медики используют для передачи и обработки данных.

За полгода аналитики просканировали около 4,3 млрд IP-адресов и выявили более 2140 общедоступных серверов, на которых суммарно хранилось свыше 45 млн уникальных DICOM-изображений. Эти серверы были размещены в 67 странах, в том числе в США, Великобритании, Франции и Германии.

Каждый медицинский скан сопровождался записью, содержащей персональные данные пациентов, а также сведения о состоянии здоровья, полученной медицинской помощи и оплате таких услуг. В большинстве случаев доступ к этой информации не требовал пароля, а на порталах, предусматривающих регистрацию, войти можно было, не заполняя поля логина и пароля.

Как оказалось, специализированные сервисы тоже не застрахованы от ошибок, грозящих утечками. Один из поставщиков платных услуг по безопасному хостингу DICOM-изображений забыл защитить службу NFS (Network File System, сетевая файловая система) на порту 2049 и в итоге слил в интернет порядка 500 тыс. файлов.

Исследователи предупреждают, что публичный доступ к конфиденциальным данным провоцирует мошенничество, вымогательство и шантаж. Халатное отношение к защите такой информации также может грозить провайдеру санкциями — за нарушение GDPR (General Data Protection Regulation, регламент ЕС о защите данных) или HIPAA (Health Insurance Portability and Accountability Act, американский Закон о сохранении медицинского страхования и персонифицированном учёте в здравоохранении).

Обеспечить безопасность хранения и передачи данных, по мнению экспертов, помогут следующие меры:

введение и контроль соблюдения строгих политик доступа к NAS-устройствам и приложениям для обмена файлами;
сегментация сетей с подключенным к интернету медицинским оборудованием, предельное ограничение доступа к критически важным средствам диагностики;
проведение аудита у подрядчиков для выявления случаев нарушения отраслевых стандартов и нормативов;
проведение работ по оценке защищенности данных, определению рисков и приоритетных проблем с привлечением сторонних экспертов.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Марта 2026 - 21:22

Домашние пользователи

В Краснодаре ребёнка отказались записывать к врачу без MAX

В Краснодаре местная жительница столкнулась с довольно странной ситуацией: в детской поликлинике ей фактически отказали в обычной записи ребёнка к врачу и заявили, что теперь сделать это можно только через мессенджер MAX. По словам женщины, ещё в феврале она пыталась записать сына к офтальмологу и хирургу через «Госуслуги» в детскую поликлинику № 27 на проспекте Знаменского, 3.

Но через сервис записаться не получилось — свободных талонов не было. Об этой истории 24 марта сообщил телеграм-канал Gmrlive.

Тогда её муж поехал в поликлинику лично, чтобы попробовать взять талон через терминал или оформить запись через регистратуру. Но там, как утверждается, в услуге отказали. Сотрудники медучреждения сослались на некое новое распоряжение, по которому записываться к врачам теперь якобы нужно только через MAX.

Такой ответ семью, мягко говоря, не устроил. Женщина направила обращение в Министерство здравоохранения Краснодарского края и попросила разъяснить, на каком основании ей отказали в записи и что делать пациентам, у которых мессенджер MAX вообще не установлен.

После этого ситуация довольно быстро начала меняться. Сначала из поликлиники ей позвонили и предложили записаться по телефону. Заодно пообещали починить терминал, через который должны выдаваться талоны.

А позже, 16 марта, пришёл и официальный ответ из краевого Минздрава. В письме сообщили, что с медицинским персоналом уже провели рабочее совещание по поводу исполнения их обязанностей. Кроме того, в ответе перечислили доступные способы записи к врачу — и мессенджера MAX среди них не оказалось.

Также женщине направили номер горячей линии и контакты главного врача, чтобы в случае повторения подобных ситуаций можно было обращаться напрямую.

В итоге история получилась довольно показательной. На словах пациентке сначала попытались представить MAX как едва ли не обязательный канал записи к врачу. Но после жалобы быстро выяснилось, что официально такого требования нет, а записаться к врачу по-прежнему можно и другими способами.

Напомним, мессенджер MAX с 18 марта 2026 года получил статус социальной сети. Это важно прежде всего для владельцев крупных каналов: теперь страницы и каналы с аудиторией более 10 тысяч пользователей смогут работать в рамках уже действующих правил Роскомнадзора для соцсетей и получать в MAX маркировку A+ после регистрации через госреестр.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!