美国卫生部警告：DICOM给PACS产品带来安全隐患！

Healthcare IT News 7月6日消息，美国卫生与公众服务部（HHS）警告，两年前发现的PACS的安全漏洞，现在需要修复。

据HHS健康部网络安全协调中心(HC3)发布的警告，2019年，网络研究人员在一些PACS产品中发现一个漏洞，如果其被利用，可能会暴露患者数据，或使网络面临恶意软件攻击的风险。

“目前仍有几个未打补丁的PACS服务器，这些系统未经授权即可访问，且暴露患者信息，它们很容易被黑客识别并通过互联网攻破。”HC3建议它们立即对其系统打补丁，“我们建议医疗机构检查他们的PACS系统，确保遵循警报中的指导。”

图源：图虫创意

由于超声、CT、MRI等影像文件在PACS服务器上存储和交换，它们依赖于DICOM格式标准。

但是，HC3官员说，30年前开发的DICOM非常容易被利用。他们指出，2019年9月，研究人员“识别出了数千存在漏洞的PACS服务器”，随后的另一项研究发现“另外一些系统被识别为存在漏洞，且可通过互联网访问”。

HC3官员表示，利用这些漏洞的网络罪犯可能会暴露医疗数据，如“患者姓名、检查日期、图像、医生姓名、出生日期、手术类型、手术地点和社会保险号”。

他们说，基于DICOM的攻击甚至可以篡改医疗诊断、扫描伪造、部署恶意软件或破坏，使不法分子能够“破坏连接的临床设备，并在未被发现的情况下将恶意代码横向传播到网络。”

HC3警告说，截至上个月，有太多的PACS仍然容易被利用——估计全美国约130个卫生系统，“850万个案例研究，也就是超过200万患者和大约2.75亿张与他们的检查相关的图像”存在暴露风险。

HC3列出了一些潜在的易受攻击的PACS设备，并表示这些设备“并非全部”:

• Optima 520，医疗成像系统，所有版本

• Optima 540，医疗成像系统，所有版本
  

• Optima 640，医疗成像系统，所有版本
  

• Optima 680，医疗成像系统，所有版本
  

• Discovery NM530c，核医学成像系统，1.003之前版本
  

• Discovery NM750b，乳腺成像系统，2.003之前版本
  

• Discovery XR656和Discovery XR656 Plus，数字射线成像系统，所有版本
  

• Revolution  XQ/i，医疗成像系统，所有版本
  

• Thunis -800+，固定诊断X射线和透视X射线系统，所有版本
  

• Centricity PACS服务器，用于支持医疗成像归档和通信系统，所有版本
  

• Centricity PACSRA1000，用于诊断图像分析，所有版本
  

• CentricityPACS-IW，一个集成的基于Web的医学成像系统，所有版本
  

• Centricity DMS，数据管理软件，所有版本
  

• Discovery VH / MillenniumVG核医学成像系统，所有版本
  

• eNTEGRA 2.0/2.5处理和审查工作站，核医学工作站影像系统，所有版本
  

• CADstream，医学成像软件，所有版本
  

• Optima MR360，医学成像系统，所有版本
  

• GEMNet许可服务器(EchoServer)，所有版本
  

• Image Vault 3.x，医学成像软件，所有版本
  

• Infinia /Infinia与Hawkeye 4 / 1，医疗成像系统，所有版本
  

• Millenium MG / Millenium NC / MilleniumMyoSIGHT 核医学成像系统，所有版本
  

• Precision MP/i，医学成像系统，所有版本
  

• Xeleris 1.0 /1.1 / 2.1 / 3.0 / 3.1，医疗成像工作站，所有版本。
  

像其他种类的医疗信息技术一样，成像技术容易受到安全风险的威胁，需要定期监测和评估以减轻新的威胁。

“PACS的安全首先要检查和验证连接，以确保只有授权用户才能访问。”HC3官员指出，系统应该按照制造商提供的文件进行配置，互联网连接的系统应该通过启用HTTPS，来确保它们和医生/病人之间的通信是加密的。

他们补充说:“与PACS系统相关的漏洞，包括已知的默认密码、硬编码凭据以及第三方软件中，都缺乏身份验证。只要有可能，它们都应该被置于防火墙之后，并要求虚拟专用网络才能访问。”

编译自 Healthcare IT News，作者 Mike Miliard

原文链接：https://www.healthcareitnews.com/news/hhs-warns-health-systems-pacs-security-vulnerabilities