Názory k článku DICOM: medicínské obrázky s citlivými daty a škatulkou pro malware
-
Ten první problém není vůbec o "zranitelnosti" DICOMu. To je jako tvrdit, že JPG formát není bezpečný, protože obrázek lze upravit pomocí vhodného SW. Stejně tak lze snadno modifikovat obsah DICOMu (obrazová data i metadata) např. pomocí DCMTK, nebo i vlastního SW napsaného na koleně. Prostě jsou to data jako každá jiná a je možné je upravit. To, co tam hoši předvádějí, je fyzické nabourání se do sítě, a o tom je ten bezpečnostní incident, a ne o DICOMu. A to, že obrázky upravují pomocí AI je sice poměrně zajímavé, ale v daném kontextu naprosto irelevantní, nesouvisí to ani s bezpečností ani s DICOMem.
-
No, DICOM šifrování podporuje, takže je to zřejmě věc provozovatele. Ale pokud se mu tam po pracovní době producírují cizí lidé a strkají si do eth zásuvek co se jim zamane, tak se fakt není čemu divit :-)
Podobně ty DICOM servery otevřené do internetu. Standardně je zobrazovací systém a obrazový archiv (PACS) v izolované síti.
Problém v praxi je ten, že nemocnice má jeden PACS a do něj posílají data všechny, tj. desítky zobrazovacích systémů od různých výrobců a různého data výroby. Do toho je třeba, aby data chodila přímo na pracovní stanice a ty přeposílaly mezi sebou. Takže zajistit aby všechno fungovalo šifrovaně a 100% spolehlivě je asi utopie.
-
Je to tak. Bezpečnosti DICOMu je stručně shrnuta zde: https://www.dicomstandard.org/using/security/ . Pro ty, co to celé nechtějí číst: "DICOM is up to its task, also in the areas of security and privacy, but that the actual security and privacy depends entirely on the implementation of the standard: both in the products as well as in the deployment of these products in the field."
Bezpečnost je samozřejmě důležitá, ale pokud s DICOMem pracujete často, tak vás spíš vytáčí pomalost toho řešení. Třeba celotělové CT scany se kopírují po jednotlivých řezech (slice by slice) a každý z těch řezů má vlastní hlavičku se spoustou informací. Proto jednou z prvních věcí, kterou vývojáři dělají, je, že anonymizované DICOM obrazy převedou do efektivnějšího formátu, třeba HDF (https://en.wikipedia.org/wiki/Hierarchical_Data_Format) nebo NIfTI. NIfTI je pro MRI, ale CT data se do něj dají také uložit.
-
Ach jo, to jsou skvělé rady... Takže technicky špatně navržený způsob komunikace/ukládání dat budeme řešit na úrovni IT vzdělávání zdravotních sester a doktorů, kteří budou napravovat mizernou práci programátorů a budeme doufat, že se nestane, že by zdravotní sestra v každodenní shonu zapomněla nějaký dokument podepsat. A samozřejmě budeme po ní také požadovat, aby před podepsáním ručně ověřila, že se do hlavičky souboru nedostal kód nějakého malware. Hmm...
-
"Odkedy systemy nedokazu urobit nieco same?"
Od počátku IT. Trochu se to mění s umělou inteligencí, která dokáže občas "sama" něco klasifikovat, ale i tak to vyžaduje programátora, který např. navrhne strukturu neuronové sítě, což velmi významně ovlivní, jaké výsledky to bude dávat.
Vždycky tam musí být někdo, kdo to nainstaluje a nakonfiguruje, tedy jinak řečeno, musí tam být potenciální zdroj chyby lidského faktoru.
To co navrhujete, je lepení děr záplatou. Původní diskuse byla o tom, že údajně je formát DICOM ok a článkem popisované nedostatky nejsou nedostatky. Jenže ony jsou. Formát, který má ukládat citlivá data bez vynuceného šifrování je prostě špatně navržený.
Pokud si špitál koupí nové CTčko, jehož proprietární aplikace nebude snímky šifrovat, tak budete tu aplikaci dekompilovat nebo jak tam tu funkcionalitu dolepíte? Necháte ajťáka ve špitále programovat démona, který bude na pozadí sledovat změny filesystému a nově vzniklé soubory šifrovat? A jak pak zajistíte jejich dešifrování?
-
Ja si nemyslim ze tie snimky by sa mali cryptovat respektive nie na aplikacnej vrstve (mozno koli vymene diskov v poli na urovni FS). Ak chcete podpisovat, tak napriklad tak ako to popisujete ale zas nerozumiem preco by to mal robit 'ajtak' v nemocnici. To si v nemocnici vyrabaju vytahy, stolicky aj CTcka?
-
S hodnocením, že za to může špatná práce analytika, bych byl opatrnější. DICOM nevymyslelo pár Pepíků z Horní Dolní. Ten standard mohou připomínkovat všichni výrobci v NEMA (nema.org). Mezi nimi jsou i velké firmy jako GE, Siemens, Philips, Canon, ... Pokud někdo z nich začne *všechna* data kryptovat, pak jeho řešení bude pomalejší než řešení konkurence. Proto se do toho nehrnou. To už bychom mohli tvrdit, že za to mohou zákonodárci, protože kryptování všech dat nevyžadují. Pravda bude někde uprostřed: Když to v praxi nebyl problém, tak se to neřešilo. Teď, když do toho ryjí bezpečnostní firmy, které na tom chtějí vydělat, tak se to řešit začíná.
-
V článku schází pár informací, a proto může být pro neznalého čtenáře trochu zavádějící. Především je třeba říct, že DICOM standard se používá pro komunikaci mezi zařízeními od různých výrobců. Proto podomácku navržená bezpečnostní udělátka mohou být zdrojem problémů. Standard DICOM má pod palcem NEMA. V rámci DICOMu existují pracovní skupiny, které zajišťují jeho zdokonalování. Jednou z nich je i skupina zabývající se bezpečností. Ke zranitelnosti zmíněné v článku vydala dva dokumenty: tiskovou zprávu (https://www.dicomstandard.org/wp-content/uploads/2019/05/Press-Release-DICOM-128-Byte-Preamble-Posted1-2.pdf) a FAQ (https://www.dicomstandard.org/wp-content/uploads/2019/05/FAQ-DICOM-128-Byte-Preamble-Posted1-1.pdf). Doporučuji si je přečíst. Jinak DICOM je velmi obsáhlý a časem se měnící standard. Výrobci obvykle implementují jen co se jim hodí. Takže i když DICOM vydá doporučení, výrobcům to může trvat roky, než ho implementují. A u starých výrobků ho implementovat vůbec nebudou. Jedinou funkční cestou je legislativa, která zdravotním zařízením přikáže určitý stupeň ochrany dat. Pak se musí přizpůsobit, a nebo přijdou o licenci. V tomhle případě dokáží výrobci implementovat nové vlastnosti velmi rychle, nedělají to ale zadarmo.
-
O bezpečnosti a integritě DICOM komunikace a dat by se dalo hodně a dlouze diskutovat :). Určitě se dnes všichni ale shodneme, že je to docela aktuální téma.
Opravdu to není tak jednoduché, že nějaký analytik nebo "ajťák" odvedl při návrhu špatnou práci. To by bylo trochu nepochopení životního cyklu průmyslového standardu, který DICOM bezesporu je. A myslím, že z pohledu historického přínosu je velmi užitečným standardem, protože si troufnu říct, že je nejrozšířenějším a nejpoužívanějším "IT / zdravotnickým" standardem vůbec.
DICOM potřebuje změny, ty je ale možné provádět z různých důvodu pouze velmi pomalu a obezřetně a následně je potřeba čekat, jak je implementuje trh, tj. výrobci přístrojů a informačních systémů.
DICOM má také několik specifik, které velmi znesnadňují zabezpečení dat. Pod zabezpečením si v tomto případě představme „jen“ ochranu před přístupem nepovolaných osob, zachování integrity a prokazatelnosti autorství (tj. aby se snímky nedostaly do nepovolaných rukou a aby je nikdo takový nemohl pozměnit). Zmínil bych ty nejdůležitější specifika a dopady.
1. Objem dat jednoho vyšetření jsou řádově jednotky až desítky GB, připravují se na trh DICOM modality s ještě řádově vyššími objemy stovek GB. Jakékoliv šifrování nebo podepisování takového objemu má zásadní dopad na rychlost přenosu a dostupnost. Lékaři jsou dnes zvyklí pracovat s dostupností elektronických dat v řádu jednotek vteřin. A jsou velmi nevlídní, pokud tomu je jinak. Pokud budeme DICOM soubory podepisovat a šifrovat, dostupnost se při stejné infrastruktuře radikálně změní a lékaři to nebudou akceptovat, to je konkrétní praktická zkušenost. Kdo zkusil někdy dělat otisk 10GB souboru, ví o čem mluvím.
2. DICOM vyšetření (studie) je sada souborů s obrázky a metadaty (až desítek tisíc), které se vytvoří na modalitě a jsou dále zpracovávány. Provádí se 3D rekonstrukce a jiné specifické zpracování dle druhu vyšetření, která generují další, někdy ještě objemnější data. Není to tedy tak, že studie na jednom místě vznikne a už se nemění. Přibývají do ní data z různých zdrojů během diagnostického procesu. Uvažujeme-li o podpisu takové množiny dat, lze použít techniku "manifest signature", ale problém je, jak zajistit autorství/odpovědnost a integritu objektu, který se mění v čase. Je potřeba zavést třeba něco jako dodatkování. DICOM standard obsahuje mechanismy pro podpis a kryptování jednotlivých vybraných datových elementů, ale neřeší kryptování a zajištění integrity studie jako celku a odkazuje se v tomto bodě na nutnost použít jiné metody a standardy.
3. DICOM je, jak již bylo napsáno velmi starý standard z 80 let a jeho autoři nemohli předpokládat, s jakými výzvami se potká v budoucnosti. Ve své době řešili úplně jiné problémy, především rychlost distribuce objemných snímků v pomalých sítích a kompatibilitu výrobců rozmanitých přístrojů. Proto je snadné jej dnes kritizovat.
4. V neposlední řadě je DICOM velmi obsáhlý, vrstevnatý a složitý (rád bych se seznámil s někým, kdo jej skutečně v Česku zná do detailu :) ). Implementovaly ho také tisíce výrobců. Úpravy takového molochu jsou velmi komplikované a hrozí zanesení nedomyšleností a chyb.
Jednoduché a rychlé řešení na bezpečný DICOM tedy neexistuje. Každé řešení ale zřejmě musí začít u změny zaběhnutých způsobů a paradigmatů práce s těmito daty. Lékaři musí připustit, že aby byla data bezpečná, nemohou s nimi zacházet jakkoliv a kdykoliv. Managementy nemocnic musí připustit, že do bezpečnosti je potřeba investovat. Pravděpodobně nejlepším řešením bude obalit standard ve vhodné fázi jiným standardem.
Takže v článku zmíněná možnost zavlečení škodlivého kódu v encapsuled PDF do DICOMu je jen špička ledovce celého problému, který DICOM dnes má. Ta se vyřeší ve chvíli, kdy bude integrita studie chráněna podpisem nebo pečetí a odpovědnost za její obsah ponese výhradně zdrojový systém, a to už je zase jiná kapitola. -
@Arthur: Myslím, že nemáte úplně pravdu: ). Pokud nahlédnete do DICOM archivu některé faktultní nemocnice, kde se dělají velká vyšetření, tak zjistíte, že CT nebo MRI studie mají běžně i 15000 snímků, na stovky můžete zapomenout. Řezy mohou být až v desetinách milimetrů. V základní serii jich tolik být nemusí, ale stroj generuje více druhů serií dle nastavení, které jsou vypočítány ze základních raw dat. Ano, vyšetření se ukládají fyzicky do souborů po jednom řezu, ale jde o integritu celé studie, ne jednoho řezu (snímku). Ty GB tedy platí pro celou studii. Pokud si vezmete CT s rozlišením 512x512 s hloubkou 16bit(2Byte) a 10000 snímky, dostanete 5GB. Ano, je tam komprese, takže výsledná velikost je méně, ale běžně existují také studie s více snímky než 10000 a rozlišení se používá také 1024x1024. A skutečně výrobci připravují/vyrábějí modality s řádově větším objemem dat. Takové objemy jistě nejsou a nebudou ve všech vyšetřeních, ale je nutno s nimi počítat... pokud chcete něco řešit systematicky a dlouhodobě...
ČLÁNKY DO MAILU