Kršitve bolnišničnih podatkov bi lahko privedle do kraje identitete in finančne prevare
Hekerji niso vedno usmerjeni v prodajalne in banke; ciljajo tudi na bolnišnice. S tem lahko pridobijo veliko količino izredno občutljivih informacij.
Najnovejše raziskave ugotavljajo, katere vrste hekerji ukradejo med kršitvijo podatkov v bolnišnici.
Raziskovalci z Michigan State University (MSU) v East Lansingu in Johns Hopkins University v Baltimoreju so razkrili, katere vrste podatkov uhajajo iz varnih strežnikov med kršitvami bolnišničnih podatkov. Svojo študijo so objavili v Anali interne medicine.
Takšna kršitev podatkov ima lahko hude posledice za ljudi, katerih informacije hekerji pridobijo, pravi John (Xuefeng) Jiang, vodilni avtor in profesor računovodstva in informacijskih sistemov v MSU. Dodaja, da se zaradi tega ne zgodi vedno finančna prevara ali kraja identitete. Lahko tudi privede do zlorabe občutljivih medicinskih informacij.
Potencial za goljufije, krajo identitete in še več
"Glavna zgodba, ki smo jo slišali od žrtev, je bila, kako ogroženi občutljivi podatki povzročajo finančno izgubo ali izgubo ugleda," pravi prof. Jiang. "Kriminalec lahko vloži goljufivo davčno napoved ali zaprosi za kreditno kartico z uporabo številke socialnega zavarovanja in rojstnih datumov, razkritih zaradi kršitve podatkov bolnišnice."
To je prva raziskava, ki je razkrila podrobnosti o vrstah in količini informacij o javnem zdravju, pridobljenih s hekerskimi incidenti. Raziskovalci ocenjujejo, da je 1461 kršitev podatkov, ki so se zgodile v desetih letih od leta 2009 do 2019, prizadelo 169 milijonov ljudi.
Da bi ugotovili, kateri podatki so ogroženi, so raziskovalci informacije razdelili v eno od treh kategorij: demografske informacije, ki vključujejo imena in e-poštne naslove; finančne informacije, vključno z datumom storitve, zneskom računa in podatki o plačilu; in zdravstvene informacije, ki vključujejo predmete, kot so diagnoze in zdravljenje.
Avtorji študije so demografske podatke nadalje razdelili tako, da so številke socialne varnosti in rojstne datume razvrstili v "občutljive demografske podatke", finančne podatke, ki vključujejo plačilne kartice in bančne podatke, pa v "občutljive finančne podatke".
Te kategorije so zrele za izkoriščanje tistih, ki želijo storiti krajo identitete ali finančno goljufijo.
Poznavanje cilja je ključni del bitke
Za ogrožene zdravstvene informacije so raziskovalci uvrstili posebne diagnoze in možnosti zdravljenja v kategorijo "občutljivih zdravstvenih informacij". Sem spadajo HIV status, spolno prenosljive bolezni, zloraba substanc, duševno zdravje in rak. Ti so lahko vpletene osebe resno kršili zasebnost.
Približno 70% kršitev podatkov je vključevalo občutljive demografske ali finančne podatke. To pomeni, da je cilj večine tistih, ki vdirajo v tovrstne informacije, kraja identitete in finančne prevare.
Vendar je 20 kršitev podatkov ogrozilo občutljive zdravstvene podatke, ki so prizadeli približno 2 milijona ljudi.
"Brez razumevanja, kaj hoče sovražnik, ne moremo zmagati v bitki," pravi Ge Bai, izredni profesor računovodstva na poslovni šoli Johns Hopkins Carey in šoli za javno zdravje Bloomberg. "Če vemo, kakšne hekerje potrebujejo, lahko okrepimo prizadevanja za zaščito informacij o pacientih."
Prihodnji koraki in posledice študije
Udeleženci te študije priporočajo, da si regulatorji, kot je Ministrstvo za zdravje, prizadevajo za formalno zbiranje vrst informacij, ki uhajajo med kršitvijo podatkov, in o tem obvestijo javnost.
Pravijo, da bo to prizadetim pomagalo oceniti morebitno škodo. Prav tako bi lahko institucije, ki imajo omejene vire, sprejele ukrepe za omejitev količine informacij, ki so dostopne za morebitno kršitev podatkov. Na primer, lahko hranijo finančne in demografske podatke na različnih strežnikih.
Raziskovalci pravijo, da še eno zaskrbljujoče področje vključuje Ministrstvo za zdravje in socialne zadeve ter Kongres. Organizacija je pred kratkim uvedla nova pravila za spodbujanje večje izmenjave podatkov. Po mnenju raziskovalcev ima skupna raba podatkov žalostni stranski učinek povečanja tveganja za kršitve podatkov.
Načrti že obstajajo, da bosta prof. Jiang in Bai sodelovala z zakonodajalci in organizacijami, da bi zagotovila čim varnejše osebne podatke.
