Porušenie údajov v nemocnici by mohlo viesť k krádeži identity a finančným podvodom
Hackeri sa nie vždy zameriavajú na maloobchod a banky; zameriavajú sa aj na nemocnice. Týmto spôsobom môžu získať značné množstvo mimoriadne citlivých informácií.
Posledný výskum identifikuje, aké typy informácií hackeri ukradnú počas narušenia údajov v nemocnici.
Vedci z Michiganskej štátnej univerzity (MSU) v East Lansingu a Johns Hopkins University v Baltimore, MD, odhalili, aké typy dát unikajú zo zabezpečených serverov pri narušení údajov v nemocnici. Svoju štúdiu zverejnili v Annals of Internal Medicine.
Tento typ porušenia ochrany údajov môže mať vážne následky na ľudí, ktorých informácie hackeri získavajú, hovorí John (Xuefeng) Jiang, hlavný autor a profesor účtovníctva a informačných systémov na MsÚ. Dodáva, že nie vždy dochádza k finančným podvodom alebo krádeži identity. Môže to tiež viesť k zneužitiu citlivých lekárskych informácií.
Potenciál na podvod, krádež identity a ďalšie
„Hlavným príbehom, ktorý sme od obetí počuli, bolo to, ako kompromitované a citlivé informácie spôsobili stratu financií alebo reputácie,“ hovorí profesor Jiang. "Zločinec môže podať podvodné daňové priznanie alebo požiadať o kreditnú kartu pomocou čísla sociálneho poistenia a dátumov narodenia, ktoré unikli z porušenia údajov v nemocnici."
Toto je prvý výskum, ktorý odhalil podrobnosti o druhoch a množstve informácií o verejnom zdraví získaných prostredníctvom hackerských incidentov. Vedci odhadujú, že 1461 porušení údajov, ku ktorým došlo za 10 rokov od roku 2009 do roku 2019, ovplyvnilo 169 miliónov ľudí.
Vedci rozdelili informácie do jednej z troch kategórií, aby zistili, ktoré údaje sú ohrozené. Demografické informácie, ktoré zahŕňajú mená a e-mailové adresy; finančné informácie vrátane dátumu poskytnutia služby, fakturačnej sumy a platobných informácií; a lekárske informácie, ktoré zahŕňajú napríklad diagnózy a liečbu.
Autori štúdie podrobnejšie rozdelili demografické informácie kategorizáciou čísel sociálneho zabezpečenia a dátumov narodenia do „citlivých demografických informácií“ a finančných informácií, ktoré obsahovali platobné karty a bankové údaje, do „citlivých finančných informácií“.
Tieto kategórie sú určené na vykorisťovanie od tých, ktorí sa chcú dopustiť krádeže identity alebo finančných podvodov.
Poznanie cieľa je kľúčovou súčasťou bitky
Pokiaľ ide o ohrozené lekárske informácie, vedci zaradili konkrétne diagnózy a možnosti liečby do kategórie „citlivé lekárske informácie“. Medzi ne patrili stav HIV, pohlavné choroby, zneužívanie návykových látok, duševné zdravie a rakovina. Tie mohli potenciálne vážne narušiť súkromie dotknutých osôb.
Asi 70% prípadov porušenia ochrany údajov sa týkalo citlivých demografických alebo finančných informácií. To znamená, že krádež identity a finančné podvody môžu byť cieľom väčšiny tých, ktorí hackujú tento druh informácií.
Avšak 20 z porušenia ochrany údajov ohrozilo citlivé lekárske informácie, ktoré postihli asi 2 milióny ľudí.
„Bez pochopenia toho, čo nepriateľ chce, nemôžeme tento boj vyhrať,“ hovorí Ge Bai, docent účtovníctva na Johns Hopkins Carey Business School a Bloomberg School of Public Health. "Keď vieme, že po hackeroch sú konkrétne informácie, môžeme zvýšiť úsilie na ochranu informácií o pacientoch."
Budúce kroky a dôsledky štúdie
Tí, ktorí sa podieľajú na tejto štúdii, odporúčajú regulačným orgánom, ako je ministerstvo zdravotníctva, usilovať sa o formálne zhromažďovanie druhov informácií, ktoré uniknú počas porušenia ochrany údajov, a informovanie verejnosti.
Tvrdia, že to pomôže postihnutým oslom potenciálne škody. Inštitúcie, ktoré majú obmedzené zdroje, by tiež mohli podniknúť kroky na obmedzenie množstva informácií prístupných pre možné porušenie ochrany údajov. Mohli napríklad ukladať finančné a demografické informácie na rôznych serveroch.
Vedci tvrdia, že ďalšou oblasťou záujmu je Ministerstvo zdravotníctva a ľudských služieb a kongres. Organizácia nedávno zaviedla nové pravidlá, ktoré majú podporiť väčšie zdieľanie údajov. Podľa vedcov má zdieľanie údajov neblahý vedľajší účinok, pretože zvyšuje riziko narušenia údajov.
Už sú však pripravené plány, aby prof. Jiang a Bai spolupracovali so zákonodarcami a organizáciami na zaistení maximálnej bezpečnosti osobných údajov.
