Παραβιάσεις δεδομένων νοσοκομείου θα μπορούσαν να οδηγήσουν σε κλοπή ταυτότητας, οικονομική απάτη
Οι χάκερ δεν στοχεύουν πάντα καταστήματα λιανικής και τράπεζες. στοχεύουν επίσης νοσοκομεία. Με αυτόν τον τρόπο, μπορούν να αποκτήσουν σημαντική ποσότητα εξαιρετικά ευαίσθητων πληροφοριών.
Πρόσφατη έρευνα προσδιορίζει τους τύπους πληροφοριών που κλέβουν οι χάκερ κατά τη διάρκεια παραβίασης δεδομένων νοσοκομείου.
Ερευνητές από το Michigan State University (MSU) στο East Lansing και το Πανεπιστήμιο Johns Hopkins στη Βαλτιμόρη, MD, αποκάλυψαν τους τύπους διαρροών δεδομένων από ασφαλείς διακομιστές κατά τη διάρκεια παραβιάσεων δεδομένων στο νοσοκομείο. Δημοσίευσαν τη μελέτη τους στο Χρονικά της εσωτερικής ιατρικής.
Αυτός ο τύπος παραβίασης δεδομένων μπορεί να έχει σοβαρές συνέπειες για τα άτομα των οποίων οι πληροφορίες αποκτούν οι χάκερ, λέει ο John (Xuefeng) Jiang, επικεφαλής συγγραφέας και καθηγητής MSU λογιστικών και πληροφοριακών συστημάτων. Προσθέτει ότι δεν συμβαίνει πάντα οικονομική απάτη ή κλοπή ταυτότητας. Μπορεί επίσης να οδηγήσει σε κατάχρηση ευαίσθητων, ιατρικών πληροφοριών.
Δυνατότητα απάτης, κλοπής ταυτότητας και πολλά άλλα
«Η βασική ιστορία που ακούσαμε από τα θύματα ήταν πώς οι συμβιβασμένες, ευαίσθητες πληροφορίες προκάλεσαν οικονομική ή απώλεια φήμης», λέει ο καθηγητής Jiang. «Ένας εγκληματίας μπορεί να υποβάλει δόλια φορολογική δήλωση ή να υποβάλει αίτηση για πιστωτική κάρτα χρησιμοποιώντας τον αριθμό κοινωνικής ασφάλισης και τις ημερομηνίες γέννησης που διαρρέουν από παραβίαση δεδομένων νοσοκομείου».
Αυτή είναι η πρώτη έρευνα που αποκάλυψε λεπτομέρειες σχετικά με τους τύπους και την ποσότητα των πληροφοριών για τη δημόσια υγεία που αποκτήθηκαν μέσω περιστατικών πειρατείας. Οι ερευνητές εκτιμούν ότι οι 1.461 παραβιάσεις δεδομένων που σημειώθηκαν σε διάστημα 10 ετών από το 2009 έως το 2019 επηρέασαν 169 εκατομμύρια ανθρώπους.
Για να προσδιορίσουν ποια δεδομένα ήταν σε κίνδυνο, οι ερευνητές διαίρεσαν τις πληροφορίες σε μία από τις τρεις κατηγορίες: δημογραφικές πληροφορίες, οι οποίες περιλαμβάνουν ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου. οικονομικές πληροφορίες, συμπεριλαμβανομένης της ημερομηνίας υπηρεσίας, του ποσού χρέωσης και των στοιχείων πληρωμής · και ιατρικές πληροφορίες, που περιλαμβάνουν στοιχεία όπως διαγνώσεις και θεραπεία.
Οι συγγραφείς της μελέτης ταξινόμησαν περαιτέρω τις δημογραφικές πληροφορίες κατηγοριοποιώντας τους αριθμούς κοινωνικής ασφάλισης και τις ημερομηνίες γέννησης σε «ευαίσθητες δημογραφικές πληροφορίες» και οικονομικές πληροφορίες, οι οποίες περιελάμβαναν κάρτες πληρωμής και τραπεζικά στοιχεία, σε «ευαίσθητες οικονομικές πληροφορίες»
Αυτές οι κατηγορίες είναι ώριμες για εκμετάλλευση από εκείνους που θέλουν να διαπράξουν κλοπή ταυτότητας ή οικονομική απάτη.
Η γνώση του στόχου είναι βασικό μέρος της μάχης
Για συμβιβασμένες ιατρικές πληροφορίες, οι ερευνητές έθεσαν συγκεκριμένες διαγνώσεις και επιλογές θεραπείας σε μια κατηγορία «ευαίσθητων ιατρικών πληροφοριών». Αυτά περιελάμβαναν κατάσταση HIV, σεξουαλικά μεταδιδόμενες ασθένειες, κατάχρηση ουσιών, ψυχική υγεία και καρκίνο. Αυτά είχαν τη δυνατότητα σοβαρών παραβιάσεων της ιδιωτικής ζωής για τα άτομα που εμπλέκονται.
Περίπου το 70% των παραβιάσεων δεδομένων αφορούσαν ευαίσθητες δημογραφικές ή οικονομικές πληροφορίες. Αυτό σημαίνει ότι η κλοπή ταυτότητας και η οικονομική απάτη μπορεί να είναι ο στόχος της πλειοψηφίας εκείνων που παραβιάζουν τέτοιου είδους πληροφορίες.
Ωστόσο, 20 από τις παραβιάσεις των δεδομένων έθεσαν σε κίνδυνο ευαίσθητες ιατρικές πληροφορίες, οι οποίες επηρέασαν περίπου 2 εκατομμύρια άτομα.
«Χωρίς να καταλαβαίνουμε τι θέλει ο εχθρός, δεν μπορούμε να κερδίσουμε τη μάχη», λέει ο Ge Bai, αναπληρωτής καθηγητής λογιστικής στο Johns Hopkins Carey Business School και στο Bloomberg School of Public Health. «Γνωρίζοντας τις συγκεκριμένες πληροφορίες που ακολουθούν οι χάκερ, μπορούμε να ενισχύσουμε τις προσπάθειες για την προστασία των πληροφοριών των ασθενών».
Μελλοντικά βήματα και επιπτώσεις της μελέτης
Εκείνοι που εμπλέκονται σε αυτήν τη μελέτη προτείνουν οι ρυθμιστικές αρχές, όπως το Υπουργείο Υγείας, να καταβάλουν προσπάθεια να συλλέξουν επίσημα τους τύπους πληροφοριών που διαρρέουν κατά τη διάρκεια μιας παραβίασης δεδομένων και να ενημερώσουν το κοινό.
Λένε ότι αυτό θα βοηθήσει τους πληγέντες γαϊδούριους πιθανές ζημιές. Επίσης, τα ιδρύματα που έχουν περιορισμένους πόρους θα μπορούσαν να λάβουν μέτρα για τον περιορισμό του όγκου των πληροφοριών που είναι προσβάσιμες σε μια πιθανή παραβίαση δεδομένων. Για παράδειγμα, θα μπορούσαν να αποθηκεύσουν οικονομικές και δημογραφικές πληροφορίες σε διαφορετικούς διακομιστές.
Οι ερευνητές λένε ότι ένας άλλος τομέας ανησυχίας αφορά το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών και Συνέδριο. Ο οργανισμός εισήγαγε πρόσφατα νέους κανόνες για να ενθαρρύνει περισσότερη κοινή χρήση δεδομένων. Σύμφωνα με τους ερευνητές, η κοινή χρήση δεδομένων έχει την ατυχή παρενέργεια της αύξησης του κινδύνου παραβίασης δεδομένων.
Ωστόσο, υπάρχουν ήδη σχέδια για τον καθηγητή Jiang και τον Bai να συνεργαστούν με νομοθέτες και οργανισμούς για να διασφαλίσουν ότι οι προσωπικές πληροφορίες είναι όσο το δυνατόν ασφαλέστερες.
