Narušení údajů v nemocnici by mohlo vést ke krádeži identity nebo finančním podvodům
Hackeři se ne vždy zaměřují na maloobchod a banky; zaměřují se také na nemocnice. Tímto způsobem mohou získat značné množství extrémně citlivých informací.
Nedávný výzkum identifikoval, jaké typy informací hackeři ukradli během narušení dat v nemocnici.
Vědci z Michigan State University (MSU) ve východním Lansingu a Johns Hopkins University v Baltimoru, MD, odhalili, jaké typy dat unikají ze zabezpečených serverů během narušení dat v nemocnici. Svou studii zveřejnili v Annals of Internal Medicine.
Tento typ narušení dat může mít vážné důsledky pro lidi, jejichž informace hackeři získávají, říká John (Xuefeng) Jiang, hlavní autor a profesor účetnictví a informačních systémů na MSU. Dodává, že ne vždy dochází k finančním podvodům nebo krádeži identity. Může to také vést ke zneužití citlivých lékařských informací.
Potenciál pro podvody, krádeže identity a další
"Hlavním příběhem, který jsme od obětí slyšeli, bylo to, jak kompromitované a citlivé informace způsobily ztrátu finančních prostředků nebo reputace," říká profesor Jiang. "Zločinec může podat podvodné daňové přiznání nebo požádat o kreditní kartu pomocí čísla sociálního zabezpečení a data narození uniklého z porušení údajů v nemocnici."
Toto je první výzkum, který odhalil podrobnosti o typech a množství informací o veřejném zdraví získaných při hackerských incidentech. Vědci odhadují, že 1461 porušení údajů, ke kterým došlo v průběhu 10 let od roku 2009 do roku 2019, ovlivnilo 169 milionů lidí.
Aby vědci zjistili, která data jsou ohrožena, rozdělili informace do jedné ze tří kategorií: demografické informace, které zahrnují jména a e-mailové adresy; finanční informace, včetně data služby, fakturační částky a platebních údajů; a lékařské informace, které zahrnují položky, jako jsou diagnózy a léčba.
Autoři studie dále rozdělili demografické informace tak, že rozdělili čísla sociálního zabezpečení a data narození na „citlivé demografické informace“ a finanční informace, které obsahovaly platební karty a bankovní údaje, na „citlivé finanční informace“.
Tyto kategorie jsou zralé k vykořisťování od těch, kteří se chtějí dopustit krádeže identity nebo finančních podvodů.
Znalost cíle je klíčovou součástí bitvy
Pokud jde o ohrožené lékařské informace, vědci umístili konkrétní diagnózy a možnosti léčby do kategorie „citlivé lékařské informace“. Mezi ně patřil stav HIV, sexuálně přenosné choroby, zneužívání návykových látek, duševní zdraví a rakovina. To mělo potenciál pro vážná porušení soukromí zúčastněných osob.
Přibližně 70% případů porušení údajů zahrnovalo citlivé demografické nebo finanční informace. To znamená, že krádež identity a finanční podvody mohou být cílem většiny těch, kteří hackují tento druh informací.
20 z porušení zabezpečení údajů však ohrozilo citlivé lékařské informace, které zasáhly přibližně 2 miliony lidí.
"Bez pochopení toho, co nepřítel chce, nemůžeme bitvu vyhrát," říká Ge Bai, docent účetnictví na Johns Hopkins Carey Business School a Bloomberg School of Public Health. "Když budeme vědět, jaké konkrétní informace hackeři mají, můžeme zvýšit úsilí o ochranu informací o pacientech."
Budoucí kroky a důsledky studie
Subjekty zapojené do této studie doporučují regulačním orgánům, jako je ministerstvo zdravotnictví, snažit se formálně shromažďovat typy informací, které uniknou během porušení ochrany údajů, a informovat veřejnost.
Říká se, že to pomůže postiženým oslům potenciální škody. Instituce, které mají omezené zdroje, by také mohly podniknout kroky k omezení množství informací přístupných pro možné narušení dat. Mohli například ukládat finanční a demografické informace na různých serverech.
Vědci tvrdí, že další oblastí zájmu je ministerstvo zdravotnictví a sociálních služeb a kongres. Organizace nedávno zavedla nová pravidla na podporu většího sdílení dat. Podle výzkumníků má sdílení dat neblahý vedlejší účinek zvyšování rizika narušení dat.
Plány však již existují, aby prof. Jiang a Bai spolupracovali se zákonodárci a organizacemi na zajištění co nejbezpečnější osobní informace.
