Порушення лікарняних даних може призвести до викрадення особистих даних, фінансового шахрайства
Хакери не завжди націлюються на роздрібні магазини та банки; вони також націлені на лікарні. Роблячи це, вони можуть отримати значну кількість надзвичайно конфіденційної інформації.
Недавні дослідження визначають, які типи хакерів інформації крадуть під час порушення даних лікарні.
Дослідники з Університету штату Мічиган (MSU) у Східному Ленсінгу та Університету Джона Хопкінса в Балтіморі, штат Медіка, виявили, які типи даних витікають із захищених серверів під час порушення даних лікарні. Вони опублікували своє дослідження в Аннали внутрішньої медицини.
Цей тип порушення даних може мати серйозні наслідки для людей, чию інформацію хакери отримують, говорить Джон (Сюйфен) Цзян, провідний автор та професор МДУ з бухгалтерського обліку та інформаційних систем. Він додає, що в результаті трапляється не завжди фінансове шахрайство або крадіжка особистої інформації. Це також може призвести до зловживання конфіденційною медичною інформацією.
Можливість шахрайства, викрадення особистих даних тощо
"Основною історією, яку ми почули від жертв, було те, як скомпрометована, конфіденційна інформація спричинила фінансову або репутаційну втрату", - говорить професор Цзян. "Злочинець може подати шахрайську податкову декларацію або подати заявку на отримання кредитної картки за номером соціального страхування та датами народження, витікаючими з порушення даних лікарні".
Це перше дослідження, яке розкрило деталі щодо видів та обсягу інформації про охорону здоров’я, отриманої внаслідок хакерських інцидентів. За підрахунками дослідників, 1461 порушення даних, яке мало місце за 10 років з 2009 по 2019 рік, торкнулося 169 мільйонів людей.
Щоб визначити, які дані ризикують, дослідники поділили інформацію на одну з трьох категорій: демографічну інформацію, яка включає імена та адреси електронної пошти; фінансова інформація, включаючи дату надання послуги, суму рахунку та інформацію про оплату; та медичну інформацію, яка включає такі пункти, як діагностика та лікування.
Автори дослідження додатково розбили демографічну інформацію, класифікуючи номери соціального страхування та дати народження на „конфіденційну демографічну інформацію”, а фінансову інформацію, яка включала платіжні картки та банківські реквізити, на „конфіденційну фінансову інформацію”.
Ці категорії готові до експлуатації з боку тих, хто хоче вчинити крадіжку особистої інформації або фінансове шахрайство.
Знання цілі - ключова частина битви
Що стосується скомпрометованої медичної інформації, дослідники поставили конкретні діагнози та варіанти лікування в категорію „делікатна медична інформація”. Сюди входили ВІЛ-статус, венеричні захворювання, зловживання наркотичними речовинами, психічне здоров’я та рак. Це могло спричинити серйозні порушення конфіденційності для причетних людей.
Близько 70% випадків порушення даних стосується конфіденційної демографічної чи фінансової інформації. Це означає, що крадіжка особистої інформації та фінансове шахрайство можуть бути метою більшості тих, хто зламає подібний тип інформації.
Однак 20 порушень даних ставили під загрозу конфіденційну медичну інформацію, яка торкнулася близько 2 мільйонів людей.
"Не розуміючи, чого хоче ворог, ми не можемо виграти битву", - говорить Ге Бай, доцент кафедри бухгалтерії в бізнес-школі Джонса Хопкінса Кері та Школі громадського здоров'я Блумберга. "Знаючи, що конкретна інформація потрібна хакерам, ми можемо активізувати зусилля щодо захисту інформації про пацієнта".
Майбутні кроки та наслідки дослідження
Учасники цього дослідження рекомендують регуляторним органам, таким як Міністерство охорони здоров'я, докладати зусиль для офіційного збору видів інформації, що витікає під час порушення даних, та інформувати громадськість.
Вони кажуть, що це допоможе постраждалим оцінити потенційні збитки. Крім того, установи, які мають обмежені ресурси, можуть вжити заходів для обмеження обсягу інформації, доступної для можливого порушення даних. Наприклад, вони могли зберігати фінансову та демографічну інформацію на різних серверах.
Дослідники кажуть, що ще однією проблемою є Міністерство охорони здоров'я та соціальних служб та Конгрес. Нещодавно організація запровадила нові правила, що заохочують більший обмін даними. На думку дослідників, обмін даними має прикро побічний ефект збільшення ризику порушення даних.
Проте вже є плани щодо того, як професор Цзян та Бай співпрацюватимуть із законодавцями та організаціями, щоб гарантувати, що особиста інформація є якомога безпечнішою.
