Китайские компании по-прежнему не могут остановить утечку медицинских данных

15 января 2020

Время чтения: 5 мин

Отредактированные скриншоты с сайта WizCase, показывающие утечки (Автор изображения: Eliza Gkritsi/TechNode)

Две бреши в безопасности китайских операторов медицинских устройств в октябре поставили под угрозу более 24 миллионов записей пациентов. Эти утечки показывают отставание практики кибербезопасности от действующих правил в то время, как китайские медицинские технологии стремительно идут вперёд.

Сайт мониторинга кибербезопасности WizCase первым обнаружил утечки, которые шли из двух разных источников. TechNode просмотрел скриншоты из сообщений об утечках и запросил дополнительную информацию у голландского исследователя кибербезопасности Виктора Геверса.

Первая утечка содержала 24 миллиона записей, принадлежащих поставщику медицинских решений для интернета вещей Sichuan Lianhao Technologies. Это не только медицинские записи, но и данные, с помощью которых можно непосредственно идентифицировать пациентов и врачей — имена, идентификационные номера, номера телефонов и медицинская информация.

Вторая утечка включает данные 60 тысяч пациентов медицинского факультета ведущего китайского университета Цинхуа — данные о рождении, росте, возрасте. В этой утечке отсутствовала идентификационная информация, такая как имена и идентификационные номера.

Незащищённые данные пациентов

«Первоначально утечки произошли через серверы баз данных с открытыми портами, подключённые к открытому интернету», — заявил ведущий исследователь WizCase Авишай Эфрат, один из специалистов, обнаруживших утечки.

Через открытые порты можно напрямую подключаться к серверам MongoDB. Эта база данных за последнее время оказалась связана с многочисленными недавними утечками. Архитектура сервера бесплатна и основана на хранении документов.

«Сервер оказался доступным через порты ElasticSearch без необходимости аутентификации, то есть любой желающий мог получить доступ к данным, зная адрес IP и порт сервиса ElasticSearch сервера», — говорит Эфрат.

«Elasticsearch — это функция поиска, которая устанавливается на сервер и обычно используется для облегчения поиска больших наборов данных», — пояснил исследователь Виктор Геверс.

Компании могут подключить сервер к сети, чтобы сделать данные доступными для сотрудников через порты. Но для защиты доступа необходимы определённые меры.

«Некоторые платформы и технологии следует использовать изолированно от открытого интернета, – говорит Эфрат. — такие технологии как ElasticSearch, были разработаны для применения в закрытых сетях.

Обычно для того, чтобы предотвратить попадание данных в чужие руки блокируются определённые порты входа, либо для получения доступа требуется аутентификация.

«Мы рекомендуем всегда защищать серверы, подключённые к интернету, закрыв все порты кроме 443 (порт для защищённого просмотра веб-страниц через https), либо ограничивать доступ к сервису, принимая только локальные соединения», — говорит Геверс.

Университет Цинхуа оказался виновен в ещё одной утечке медицинских данных в сентябре, сообщил Геверс. В открытый доступ попали миллионы идентификационных данных из 109 больниц китайской провинции Сычуань, — добавил он.

После сравнения информации WizCase с собственным расследованием, Геверс заявил TechNode, что утечки произошли с разных серверов. Брешь безопасности в обоих случаях оказалась связана с сервисом ElasticSearch.

Пекинский университет опроверг заявление Геверса в Twitter в сентябре, заявив, что этот сервер не находится в его ведении.

Отрасль бурно развивается, но слабо регулируется

Компании борются за долю в триллионной китайской индустрии здравоохранения с помощью интеллектуальных устройств, подключённых к интернету. К гонке присоединились такие тяжеловесы как Alibaba и JD.

В отчёте Tencent Security за 2018 год сообщается, что 84.7% больниц предоставляют онлайн-услуги через мобильные или настольные приложения, как правило за счёт третьей стороны. При этом только 56.4% из этих услуг включают тестирование и консультации, говорится в докладе.

Использование стороннего программного обеспечения распространено в медицинской отрасли и повышает вероятность кибератак, говорит Эфрат.

«По данным, около 17% сетевых атак в больницах происходят из медицинских устройств, — сообщил TechNode шанхайский партнер юридической фирмы Baker Mckenzie Симун Хуэй. — 77% больниц заявили, что они обеспокоены угрозой безопасности медицинского оборудования».

Приложения для пациентов предоставляют возможность записи к врачу и иногда услуги консультации врача (Автор изображения: TechNode/Eliza Gkritsi)

Чуть более 3/4 приложений китайских больниц для пациентов имеют уязвимости. Пациенты используют эти программы для записи на приём и получения медицинских услуг, не выходя из дома.

Вымогатели атакуют медицинскую отрасль с 2017 года, заявила Tencent, добавив, что на вымогательство приходится почти треть всех хакерских атак в стране. Это создало угрозу для физического благополучия пациентов, сообщили эксперты TechNode.

Хуэй заявил, что существует «тенденция, что хакеры больше не удовлетворяются извлечением медицинских записей и данных пациентов. Они тянут руки к медицинским приборам и угрожают безопасности пациентов».

Власти ещё не выпустили никаких нормативных актов, конкретно касающихся медицинских данных, хранящихся у поставщиков медицинских технологий. «До сих пор мы не видели каких-либо обязательных законов или правил, применяемых специально для операторов и поставщиков медицинских устройств», — говорит Хуэй.

Небольшие штрафы за утечки данных

Китайское управление по контролю за пищевыми продуктами и лекарственными препаратами опубликовало руководящие принципы технического анализа регистрации медицинских изделий в области кибербезопасности в 2017 году. Они требуют проверки безопасности со стороны всех операторов медицинских устройств. Хуэй ожидает, что они станут обязательными в будущем.

Министерство общественной безопасности заявило, что провело проверки 27 000 компаний, добавил он.

Закон о кибербезопасности 2017 года привёл к штрафам для больниц. Административные штрафы, как правило, близки к минимальной сумме, требуемой законом — от 10 000 юаней ($1440) до 100 000 юаней, сообщают местные СМИ.

Больница Чунцина получила 10 000 юаней штрафа в мае прошлого года после того, как её серверы оказались полностью недоступны в результате захвата хакерами. Больница не хранила чувствительные данные отдельно, и они не была должным образом защищены от хакеров.

В марте хакеры установили бэкдор на серверах больницы пластической хирургии, и информация о пациентах была использована для создания сайта проституции. Власти сочли больницу ответственной за взлом и наложили штраф в размере 10 000 юаней.

Хотя в докладе Tencent говорится, что кибербезопасность становится приоритетом в стремительно цифровизирующейся индустрии здравоохранения, множество примеров показывают, насколько небрежное отношение преобладает в отрасли.