تقرير: كشفت شركة الذكاء الاصطناعي الطبية عن ملايين السجلات عبر الإنترنت
مرحبا بك أنت هنا فـ ي موقع استضافة مغربية تشاهد مفالة

اكتشف الباحث الأمـني ​​Jeremiah Fowler جنبًا إلى جنب مع فريق بحث Website Planet قاعدة بيانات غير محمية بكلمة مرور تحتوي عــل ى 886.521.320 سجلًا. وكان الحجم الإجمالي لمجموعة البيانات 68.53 جيجابايت وتحتوي عــل ى بيانات طبية ذات صلة. وبعد إجراء مزيد مـن البحث ، كانت هناك إشارات متعددة إلى Deep6.AI بما فـ ي ذلك رسائل البريد الإلكتروني الداخلية وأسماء المستخدمين. أرسلنا عــل ى الفور إشعارًا بالإفشاء المسؤول وتم تقييد الوصول العام بعد فترة وجيزة. يبدو أن السجلات تحتوي عــل ى بيانات أولئك الموجودين فـ ي الولايات المتحدة.

تم تقسيم نوع البيانات التي تم جمعها إلى الأقسام التالية:

التاريخ ، نوع المستند ، ملاحظة الطبيب ، معرفات اللقاء (تفاعل بين المريض ومقدم (مقدمي) الرعاية الصحية لغرض تقديم خدمة (خدمات) الرعاية الصحية) ، معرف المريض ، ملاحظة ، uuid ، نوع المريض ، noteId ، تاريخ الخدمة ، نوع الملاحظة (مثال تمريض / أخرى) ، ونص مفصل للملاحظة. تم تشفـ ير بعض هذه المعلومات ، لكن الملاحظات ومعلومات الطبيب كانت فـ ي نص عادي. سيكون الخطر إذا تم فك تشفـ ير هوية المريض وتم الكشف عن الهوية واضح لرؤية مشاكلهم الطبية أو التشخيص.

يأخذ Deep6 البيانات الطبية الخام ويحاول إدارتها أو تنظيمها.

وفقًا لموقعهم عــل ى الويب: “يحدد برنامج Deep6 AI أيضًا المرضى الذين يعانون مـن حالات غير مذكورة صراحة فـ ي السجلات الطبية. ونتيجة لذلك ، يجد برنامج Deep6 AI المزيد مـن المرضى الذين يطابقون معايير التجربة بشكل أفضل فـ ي جزء صغير مـن الوقت “. يقع Deepd6 فـ ي باسادينا ، كاليفورنيا ، الولايات المتحدة الأمريكية.

كشفت السجلات المكشوفة عن ملاحظات الطبيب التي قدمت تفاصيل حميمة عن مرض المريض والعلاج والأدوية والأسرة والمشكلات الاجتماعية وحتى العاطفـ ية. كانت هذه أوصافًا كاملة للغاية وكان مـن المدهش فقط عدد التفاصيل الصغيرة التي تم تضمينها فـ ي هذه الملاحظات. إنه أمر نادر الحدوث. انظر وراء الكواليس لمعرفة كيف تبدو هذه الملاحظات ونوع المعلومات التي يتم جمعها مـن قبل العاملين فـ ي المجال الطبي.

مثال عــل ى ملاحظة الطبيب:

“النحيب وعدم القدرة عــل ى التوقف ، جلس مع pt عــل ى فترات طويلة. لم يتحدث Pt مطلقًا إلى معالج أو وصف له أدوية. استشر الخدمة الاجتماعية مع pt وسيتبع ذلك أثناء هذا الإدخال. حصل عــل ى ativan 2mg IVB x2 أثناء الإجراء بأثر عادل. تأخذ السيطرة عــل ى الألم فـ ي المـنزل لمرض الذئبة علامات تبويب Vicodin 2 و Tylenol # 3 2 فـ ي HS. nCV-VSS فـ ي انتظار إدخال قسطرة PA قبل أن يبدأ Flolan بواسطة خدمة MICU “.

فـ ي عينة مـن 10 آلاف سجل ، ظهر “المريض” 8672 مرة وبعضها موجود فـ ي ملاحظات الطبيب. ظهرت كلمة “ملاحظة” 5914 مرة. كانت هناك إشارات إلى مستندات .csv ويمكننا فقط التكهن بأن هذه قد تحتوي عــل ى معلومات إضافـ ية نظريًا ، إذا تمكن شخص ما مـن الوصول إلى مستندات .csv هذه ، فمـن المحتمل أن يتطابق مع الملاحظات التفصيلية مع بيانات المريض والتشخيص والأدوية والعلاجات.

تفاصيل الاكتشاف:

  • الحجم الإجمالي: 68.53 جيجابايت
  • إجمالي السجلات 886.521.320
  • فهرس المفاهيم – 21.0 مليون سجل ، يعرض نتائج المختبر وتفاصيل الأدوية ،
  • فهرس المريض – 422 مليون سجل.ملاحظة: عــل ى الرغم مـن أن أسماء المرضى لم تكن مكتوبة بنص عادي ، إلا أنها توفر فهماً واضحاً لمكان تخزين هذه المعلومات ، ولكن ما تم الكشف عنه كان عمليات تسجيل وتتبع داخلية للمريض.
  • فهرس الموفر – 89 ألف سجل تعرض أسماء الأطباء وأرقام هوية المريض الداخلية (هذه أرقام تتبع داخلية وتعرض تنسيق التسجيل) ومواقع المستندات وملفات CSV وغيرها مـن المعلومات التي يحتمل أن تكون حساسة.
  • تُظهر الملفات أيضًا مكان تخزين البيانات والمراجع إلى بيانات “الإنتاج”.
  • كانت قاعدة البيانات معرضة لخطر هجوم برمجيات الفدية وكانت متاحة للجمهور لأي شخص متصل بالإنترنت.

Deep 6 AI

Deep 6 AI

بصفتنا باحثين أمـنيين ، لا نتحايل أبدًا عــل ى المـناطق المحمية بكلمة مرور فـ ي الشبكة أو نحاول فك تشفـ ير السجلات. فـ ي العينة لم تظهر كلمة “Demo” وكانت الإشارات الوحيدة لـ “اختبار” فـ ي السياق الطبي لاحتياجات المريض. يظهر الأطباء جميعًا أن تكون فـ ي الولايات المتحدة وشبكات مقدمي خدمات متعددة. كانت معلومات العاملين الطبيين بنص عادي وتضمـنت الاسم الكامل ومجال التخصص الطبي ودورهم فـ ي رعاية المريض. كان اسم الطبيب أو الطبيب أفرادًا حقيقيين وكنت قادرة عــل ى التحقق مـن صحة عدد مـن الأسماء الفريدة باستخدام محرك بحث فقط.

وفقًا لبيان صحفـ ي صادر فـ ي 29 يونيو 2021:

مع الإضافة الأخيرة لأربعة أنظمة صحية إضافـ ية ، يحتوي نظام Deep6 Ecosystem الآن عــل ى: العشرات مـن المؤسسات البحثية الرائدة بما فـ ي ذلك 6 مراكز سرطان شاملة مخصصة للمعهد الوطني للسرطان ، و 30000 طبيب رعاية صحية ومقدمين آخرين ، و 30 مليون مريض ، وآلاف التجارب النشطة.

الرعاية الصحية هي الهدف

لقد ابتليت صناعة الرعاية الصحية فـ ي السنوات القليلة الماضية بتهديدات ومشاكل الأمـن السيبراني التي لا تنتهي أبدًا. وارتفعت الهجمات الإلكترونية للرعاية الصحية فـ ي الولايات المتحدة بنسبة 55٪ تقريبًا العام الماضي ، وتعد الهجمات الإلكترونية عــل ى الرعاية الصحية مشكلة كبيرة لن تختفـ ي قريبًا. تعتبر البيانات الطبية أكثر قيمة بكثير مـن أي نوع آخر مـن السجلات عــل ى شبكة الإنترنت المظلمة. يُقدر الآن متوسط ​​تكلفة خرق البيانات لكل سجل طبي بما يصل إلى 499 دولارًا وفقًا لبعض المصادر (ارتفاعًا مـن 250 دولارًا فـ ي العامين الماضيين).

الأطباء أيضًا هدف لمجرمي الإنترنت والمحتالين. خلال جائحة Covid 19 ، كان الأطباء والممرضات عــل ى اتصال وثيق بالمرضى المصابين. ويتصل المحتالون الآن بالأطباء ويتظاهرون بأنهم متتبعون للاتصال ثم يطلبون بيانات طبية حساسة للمريض. هذا افتراضيًا قد يكون التعرض قد زود المحتالين بقائمة مـن 89143 مـن المهنيين الطبيين الذين يمكنهم استهدافهم باستخدام المعلومات الداخلية وملاحظاتهم الخاصة لكسب الثقة.

ما مدى أمان الذكاء الاصطناعي؟

بصفتي باحثًا فـ ي مجال الأمـن ، أعلم جيدًا مدى صعوبة البحث فـ ي كميات هائلة مـن البيانات وتحديد ما هو حساس وما هو غير ذلك.تتمثل الفكرة الأساسية للذكاء الاصطناعي فـ ي أن تستخدم الآلة كميات كبيرة مـن البيانات للتعلم ، تصبح أكثر ذكاءً ، وتتنبأ بنتائج دقيقة مـن تلك البيانات فـ ي فترة زمـنية قصيرة.نفس المفهوم الذي يجعل الذكاء الاصطناعي حلاً وظيفـ يًا هو أيضًا نفس العملية التي تجعل الذكاء الاصطناعي فـ ي خطر مـن وجهة نظر الأمـن السيبراني.

لا يخفى عــل ى أحد أن التكنولوجيا الدفاعية غالبًا ما تكون متخلفة عن تكنولوجيا مجرمي الإنترنت والدول القومية. ومع نمو التعلم الآلي فـ ي مجال الأمـن وزيادة تعقيده ، تزداد الهجمات الإلكترونية أيضًا. وفـ ي كل مرة يحدث فـ يها اختراق فاشل ، تتعلم الآلة أن تصبح أكثر ذكاءً ويصبح مـن الصعب التنبؤ بالهجوم أو مـنعه أو إيقافه.

الذكاء الاصطناعي فـ ي الطب والرعاية الصحية هو استخدام ثوري للتكنولوجيا التي لها بالفعل تأثير إيجابي عــل ى حياة الأشخاص الحقيقيين.يجب عــل ى المـنظمات بذل المزيد لحماية تطبيقات الذكاء الاصطناعي ونماذج التعلم الآلي والأهم مـن ذلك الكم الهائل مـن البيانات التي تجمعها مـن أفضل حلول الأمـن السيبراني للذكاء الاصطناعي ضمان تخزين البيانات فـ ي بيئة آمـنة واستخدام التشفـ ير.

يجب أن تسير حماية البيانات جنبًا إلى جنب مع تطوير تطبيقات الذكاء الاصطناعي.حتى حالات التعرض العرضي للبيانات لا يمكنها تسريب البيانات فحسب ، بل يمكنها أيضًا أن تمـنح مجرمي الإنترنت نظرة مـن وراء الكواليس عــل ى التكوينات أو البرامج الوسيطة التي تربط التطبيقات ببعضها البعض أو البنية التحتية التشغيلية. باستخدام هذه المعلومات ، يمكن للمجرمين إنشاء هجوم أكثر استنارة وتنسيقًا عــل ى قاعدة البيانات أو البنية التحتية.

تتطلب مساعدة المرضى سنوات مـن البحث والاختبار والتجارب السريرية. وهذا يتطلب أيضًا جمع كميات هائلة مـن البيانات الطبية وبيانات المريض. هدفنا هو زيادة الوعي بحماية البيانات الطبية القيمة ذات الصلة. نريد التأكد مـن أن البيانات مـن جميع الأفراد محمي ومضمون.

ليس مـن الواضح كم مـن الوقت تم الكشف عن قاعدة البيانات علنًا لمقدمي الخدمة أو مـن قد يكون قد تمكن مـن الوصول إلى هذه السجلات. يثير هذا الاكتشاف التساؤل حول حماية الخصوصية التي يتمتع بها المرضى أو مدى تحكمهم فـ ي كيفـ ية استخدام بياناتهم مـن قبل الرعاية الصحية والباحثين والباحثين ، وشركات الطرف الثالث. مـن غير المعروف ما إذا كان هؤلاء الأفراد قد اختاروا أن يتم اختيارهم لتجربة سريرية أو ما هي الأدوار التي لعبها الأطباء أو شبكات الرعاية الصحية فـ ي توفـ ير هذه البيانات؟

لقد تصرف Deep6.ai بشكل سريع ومهني لإغلاق الوصول العام إلى مجموعة البيانات. نحن لا نشير إلى أي مخالفة مـن قبل Deep6.ai أو شركائهم ونقوم فقط بتسليط الضوء عــل ى نقاط الضعف الأمـنية المحيطة بالتكنولوجيا الطبية. نحن لا نشير إلى أن أي مريض ، طبيب ، أو كانت البيانات الطبية فـ ي خطر عــل ى الإطلاق وننشر نتائجنا للأغراض التعليمية لأفضل ممارسات الأمـن السيبراني.

رد Deep6:

“فـ ي آب (أغسطس) ، تمكن باحث أمـني مـن الوصول إلى بيئة اختبار تحتوي عــل ى بيانات وهمية مـن نظام المعلومات الطبية للعناية المركزة (MIMIC) التابع لمعهد ماساتشوستس للتكنولوجيا ، وهو مصدر قياسي صناعي لبيانات الاختبار غير المحددة المتعلقة بالصحة. وللتأكيد ، لا توجد بيانات حقيقية عن المريض أو تم تضمين السجلات فـ ي بيئة الاختبار سريعة الزوال هذه ، وتم عزلها تمامًا عن أنظمة الإنتاج لدينا. بناءً عــل ى التقارير الحالية ، تأكدنا مـن أن المطالبات الأخيرة تشير إلى بيانات MIMIC ، ولم يكن هناك وصول إلى سجلات المرضى الحقيقية. عندما أبلغنا الباحث فـ ي أغسطس ، قمـنا عــل ى الفور بتأمين بيئة الاختبار للتأكد مـن عدم وجود أي قلق آخر. يمثل أمان البيانات والخصوصية أولوية قصوى فـ ي Deep 6 AI ، وتقع مسؤولية حماية البيانات فـ ي صميم أعمالنا وهي فـ ي مقدمة أولوياتنا كل شعبنا “.