成像系统易受网络攻击

研究人员发现了许多利用DICOM标准和DICOM服务器的方法,这些方法与医学图像的机密性,完整性和可用性有关。

网络攻击锁
Bigstock

医疗保健创新 在最近的东北虚拟网络安全峰会上,与美国放射与医学副教授Benoit Desjardins博士进行了讨论。 宾夕法尼亚大学,他最近发表了有关医学图像网络安全性的研究。 Desjardins是一位来自加拿大的改革黑客,在人工智能和数学研究生学习后从事医学职业。

作为临床医生和前黑客,是什么使您重新开始对黑客和网络安全感兴趣?

2017年,我参加了在拉斯维加斯举行的DEFCON。当我去参加关于医疗保健网络安全的小型夜间会议时,有500人在门口排队等候进入。他们将我们搬到一个更大的房间,并向我们提供了有关Wannacry和NotPetya等最近网络攻击的最新信息在外地进行。这很吸引人,我决定恢复旧的兴趣。然后,我参加了几次会议,并获得了多项网络安全认证,以使我的知识和黑客技能保持最新。我还开始与该领域的一些领导者以及我所在机构的网络安全团队进行互动。

您最近发表了有关医学图像网络安全性的研究。您能告诉我们有关该研究的背景信息吗?

在过去的10年中,已经报告了3,000多次违反医疗记录的事件,包括Anthem违约事件,其中包括7,800万条记录。但是这些违规行为大多涉及一般的医疗记录。医学图像存储在不同的服务器中,并且相对安全,不会被破坏,尽管这是出于默默无闻的安全。医学图像使用DICOM标准,该标准在1980年代提出,用于集成来自多个制造商的不同成像设备。医学图像不存储在电子病历中,而是存储在DICOM服务器上,该服务器具有不同的IP地址和不同的访问方法。

最近是否有违反医学图像的行为?

在过去的两年中,三个不同的网络安全研究小组对DICOM服务器进行了有控制的破坏:一个来自Mass General Hospital,一个来自McAfee和另一个来自Greenbone Networks。他们要么使用Shodan搜索引擎,要么对DICOM服务器的全球IP地址进行详尽的搜索。他们发现成千上万的DICOM服务器没有受到保护,并且可以从地球上的任何位置轻松访问其图像。有关这一消息的消息一直传到了国会。

去年,西班牙的一个小组找到了一种在DICOM图像中嵌入恶意软件的方法,而以色列的一个小组找到了一种在从CT扫描仪传输到DICOM服务器的拦截CT扫描图像上添加肺结节的方法。因此,我决定对DICOM图像和DICOM服务器的可利用性进行深入研究。

您为这项研究组建了什么样的团队?

我组建了一个由世界上最优秀的人才组成的精英团队,其中包括最近发现我刚才谈到的漏洞的网络安全研究人员,以及负责添加所有安全功能的DICOM安全工作组的两位联合负责人。符合DICOM标准。我们进行了广泛的集思广益,并对DICOM标准被滥用的方式进行了详尽的分析,并在其中一本顶级放射学期刊上发表了我们的结果和建议。

您在研究中发现了哪些主要的网络安全问题?

我们发现了许多利用DICOM标准和DICOM服务器的方法,这些方法与医学图像的机密性,完整性和可用性有关。我很高兴地详细说明其中三个:静止数据问题,传输中数据问题和数据完整性问题。

静态数据有什么问题?

来自医疗机构内部和外部的DICOM服务器上静态数据的安全性存在几个问题。少数DICOM服务器配置不正确,可以远程访问。并非所有这些设备都提供相同级别的图像访问权限。但是,即使适当地保护了DICOM服务器免受来自机构外部的访问,黑客也可以从走廊或病人室的网络插孔走进医院,将笔记本电脑连接到医院网络,然后访问DICOM服务器。 DICOM标准包括保护媒体和电子邮件中的数据(包括加密)的功能,但不提供对DICOM服务器上的数据进行加密的功能。此外,大多数加密功能均未实现。

传输中的数据又如何呢?

传输数据的安全性存在多个问题,例如,CT扫描仪和DICOM服务器之间的网络连接。我们论文的共同作者之一是以色列小组的一部分,该小组找到了一种方法来拦截CT扫描仪在将其输入DICOM服务器的过程中获取的DICOM图像,并使用人工智能方法在胸部CT上添加结节或减去结节扫描。大多数放射科医生被篡改的图像所迷惑。由于网络连接上缺乏加密,使得这种黑客成为可能。 DICOM标准包括使用TLS对传输中的数据进行加密的功能,该功能已在大多数系统中实现,但并不总是使用。

数据完整性问题呢?

在传输的DICOM图像中缺少完整性检查存在几个问题。当前的DICOM标准包括图像“创建者数字签名”字段,该字段可由获取图像的设备填充,以进行生命周期完整性检查。但这通常不是制造商实施的,或者如果实施了,则实际上是不使用的。我已经提到过在运输过程中将肺结节添加到CT图像时侵犯了图像完整性。另一个例子也来自我们西班牙小组的论文中的一位共同作者,他们找到了一种将恶意软件嵌入DICOM图像的方法。他将恶意软件嵌入到DICOM标头中的DICOM私有属性中,并用Windows可执行文件的标头替换了DICOM序言。任何涉及远程命令执行的黑客都可能触发该恶意软件并接管计算机系统。

您提出的与医学图像安全性相关的主要建议是什么?

加密和数字签名的使用要求使用复杂的密钥和证书系统,并且需要大量开销。我们需要弄清楚如何存储,获取和恢复密钥,以及如何对请求密钥的人员进行身份验证。 DICOM安全主管需要集成现代技术,以更轻松地处理加密密钥和证书。

制造商从未实施过DICOM标准中的许多安全功能,因为他们认为医学图像在静止和运输过程中都是安全的。现在我们知道它们不是,这是实施所有DICOM安全功能的有力动力。

管理加密密钥和证书的新技术将有助于实现这些功能。扫描仪生成图像后,扫描仪应填充创建的DICOM文件的“创建者数字签名”。每次将该图像传输到另一个医疗设备时,都应检查该签名,并在不正确或缺失的情况下发出警告。还应使用图像验证器来验证DICOM图像的内部一致性。

对当地IT专家的建议呢?

本地IT专家需要仔细监视其网络,以防外部或内部进行任何可疑活动。他们需要正确验证所有发送和请求图像的用户,将图像访问限制为仅合法用户,限制其DICOM服务器和成像设备的网络可见性,并使用已实现的DICOM功能在机构内和与外部机构安全地传输图像。 。他们应实施速率限制器以防止拒绝服务攻击,并应在所有放射学工作站上禁用CD自动加载。

对放射科医生和技术人员的建议呢?

放射科医生已经准备好检测医学图像中的错误。例如,如果一名男性患者的胸部X光片看起来正常,但是在下一次X光片上该患者的乳房已长大,则放射线医师本能地知道这可能是另一名患者的X光片被贴错了标签。但是,如果下一张X射线照片显示有新的肺结节,则他们会检查是否是同一名患者,但还应在他们的脑海中考虑图像被破坏或篡改的可能性。他们还应确保通过加密包含成像数据的笔记本电脑,并且永远不要通过公共网络发送此类数据来始终保持机密性。而且,如果将它们交给映像工作站的路边咨询光盘,则他们不应将其加载到工作站中,因为它可能包含恶意软件。

COVID大流行如何影响放射学的实践以及对网络有何影响?

大流行对医疗实践产生了重大影响,特别是对于远程工作。在我的机构中,医生和患者之间通过远程医疗进行的咨询从每天50例增加到每天7,000例。大多数放射科医生与患者的互动非常有限。对于放射科医生来说,在家工作和在医院工作之间的唯一区别是,它的速度稍慢一些,并且在家中更加孤独。但是放射科医生必须牢记安全性。放射科医生的家庭工作站连接到家庭路由器,家庭路由器通过互联网连接到医院VPN设备,而医院VPN设备本身又连接到医院服务器。这些问题中的每一个都以许多不同的方式受到攻击。放射科医生必须确保其家用设备没有受到损害。特别是,他们需要更改路由器的默认管理员密码,以免路由器被黑客劫持。数千个家用路由器都发生了这种情况,它们可以将链接重定向到黑客的网站并可以拦截数据


更多网络安全