Naruszenia danych szpitalnych mogą prowadzić do kradzieży tożsamości i oszustw finansowych
Hakerzy nie zawsze atakują sklepy detaliczne i banki; celują również w szpitale. W ten sposób mogą uzyskać znaczną ilość niezwykle wrażliwych informacji.
Najnowsze badania wskazują, jakie rodzaje informacji kradną hakerzy podczas naruszenia bezpieczeństwa danych w szpitalu.
Naukowcy z Michigan State University (MSU) w East Lansing i Johns Hopkins University w Baltimore, MD, ujawnili, jakie rodzaje danych wyciekają z bezpiecznych serwerów podczas naruszeń danych w szpitalach. Opublikowali swoje badanie w Roczniki chorób wewnętrznych.
Tego rodzaju naruszenie danych może mieć poważne konsekwencje dla osób, których informacje uzyskają hakerzy - mówi John (Xuefeng) Jiang, główny autor i profesor MSU ds. Systemów księgowych i informatycznych. Dodaje, że nie zawsze dochodzi do oszustwa finansowego lub kradzieży tożsamości. Może również prowadzić do niewłaściwego wykorzystania wrażliwych informacji medycznych.
Możliwość oszustwa, kradzieży tożsamości i nie tylko
„Główną historią, jaką usłyszeliśmy od ofiar, było to, jak skompromitowane, wrażliwe informacje spowodowały utratę finansów lub reputacji” - mówi prof. Jiang. „Przestępca może złożyć fałszywe zeznanie podatkowe lub ubiegać się o kartę kredytową, podając numer ubezpieczenia społecznego i daty urodzenia ujawnione w wyniku naruszenia danych szpitalnych”.
To pierwsze badanie, które ujawniło szczegóły dotyczące rodzajów i ilości informacji dotyczących zdrowia publicznego uzyskanych w wyniku incydentów hakerskich. Naukowcy szacują, że 1461 naruszeń danych, które miały miejsce w ciągu 10 lat od 2009 do 2019 roku, dotknęło 169 milionów ludzi.
Aby określić, jakie dane są zagrożone, naukowcy podzielili informacje na jedną z trzech kategorii: informacje demograficzne, które obejmują nazwiska i adresy e-mail; informacje finansowe, w tym data usługi, kwota faktury i informacje o płatności; oraz informacje medyczne, które obejmują takie pozycje, jak diagnozy i leczenie.
Autorzy badania dokonali dalszego podziału informacji demograficznych, kategoryzując numery ubezpieczenia społecznego i daty urodzenia na „wrażliwe informacje demograficzne”, a informacje finansowe, w tym dane kart płatniczych i bankowych, na „wrażliwe informacje finansowe”.
Te kategorie są dojrzałe do wykorzystania przez tych, którzy chcą popełnić kradzież tożsamości lub oszustwo finansowe.
Znajomość celu jest kluczową częścią bitwy
W przypadku skompromitowanych informacji medycznych naukowcy umieścili określone diagnozy i opcje leczenia w kategorii „wrażliwe informacje medyczne”. Obejmowały one zakażenie wirusem HIV, choroby przenoszone drogą płciową, nadużywanie narkotyków, zdrowie psychiczne i raka. Miały one potencjał do poważnych naruszeń prywatności zaangażowanych osób.
Około 70% naruszeń danych dotyczyło wrażliwych informacji demograficznych lub finansowych. Oznacza to, że kradzież tożsamości i oszustwa finansowe mogą być celem większości tych, którzy włamują się do tego rodzaju informacji.
Jednak 20 z naruszeń ochrony danych naruszyło wrażliwe informacje medyczne, które dotknęły około 2 miliony osób.
„Bez zrozumienia, czego chce wróg, nie możemy wygrać bitwy”, mówi Ge Bai, profesor księgowości w Johns Hopkins Carey Business School i Bloomberg School of Public Health. „Wiedząc, jakich informacji poszukują hakerzy, możemy zintensyfikować działania mające na celu ochronę informacji o pacjentach”.
Przyszłe kroki i implikacje badania
Osoby zaangażowane w to badanie zalecają organom regulacyjnym, takim jak Departament Zdrowia, podjęcie starań w celu formalnego zebrania rodzajów informacji, które wyciekają podczas naruszenia danych, i poinformowania opinii publicznej.
Mówią, że pomoże to poszkodowanym w ocenie potencjalnych szkód. Ponadto instytucje dysponujące ograniczonymi zasobami mogą podjąć kroki w celu ograniczenia ilości dostępnych informacji w przypadku ewentualnego naruszenia danych. Na przykład mogą przechowywać informacje finansowe i demograficzne na różnych serwerach.
Naukowcy twierdzą, że inny obszar niepokoju dotyczy Departamentu Zdrowia i Opieki Społecznej oraz Kongresu. Organizacja wprowadziła niedawno nowe zasady, aby zachęcić do częstszego udostępniania danych. Zdaniem naukowców udostępnianie danych ma niefortunny efekt uboczny w postaci zwiększenia ryzyka naruszenia danych.
Jednak już istnieją plany, aby prof. Jiang i Bai współpracowali z ustawodawcami i organizacjami w celu zapewnienia jak największego bezpieczeństwa danych osobowych.
