Ligoninės duomenų pažeidimai gali sukelti tapatybės vagystę, finansinį sukčiavimą
Įsilaužėliai ne visada nukreipia į mažmenines parduotuves ir bankus; jie taip pat skirti ligoninėms. Tai darydami jie gali gauti nemažai itin jautrios informacijos.
Naujausi tyrimai nustato, kokio tipo įsilaužėliai vagia ligoninės duomenų pažeidimo metu.
Tyrėjai iš Mičigano valstijos universiteto (MSU) Rytų Lansinge ir Johns Hopkinso universiteto Baltimorėje, MD, atskleidė, kokio tipo duomenys nutekėjo iš saugių serverių per ligoninės duomenų pažeidimus. Jie paskelbė savo tyrimą Vidaus ligų metraščiai.
Tokio tipo duomenų pažeidimai gali turėti rimtų pasekmių žmonėms, kurių informaciją įsilaužėliai gauna, sako Jonas (Xuefengas) Jiangas, pagrindinis autorius ir MSU apskaitos ir informacinių sistemų profesorius. Jis priduria, kad ne visada dėl to įvyksta finansinis sukčiavimas ar asmens tapatybės vagystė. Tai taip pat gali sukelti netinkamą slaptos medicininės informacijos naudojimą.
Sukčiavimo, tapatybės vagystės ir kt. Galimybė
„Pagrindinė istorija, kurią išgirdome iš aukų, buvo tai, kaip sukompromituota, neskelbtina informacija sukėlė finansinių ar reputacijos nuostolių“, - sako prof. Jiangas. „Nusikaltėlis gali pateikti apgaulingą mokesčių deklaraciją arba kreiptis dėl kreditinės kortelės naudodamas socialinio draudimo numerį ir gimimo datas, gautas iš ligoninės duomenų pažeidimo“.
Tai pirmas tyrimas, atskleidęs informaciją apie visuomenės sveikatos informacijos rūšis ir kiekį, gautą įsilaužus. Tyrėjai apskaičiavo, kad 1461 duomenų pažeidimas, įvykęs per 10 metų nuo 2009 iki 2019 metų, paveikė 169 milijonus žmonių.
Siekdami nustatyti, kuriems duomenims gresia pavojus, mokslininkai suskirstė informaciją į vieną iš trijų kategorijų: demografinę informaciją, įskaitant vardus ir el. Pašto adresus; finansinė informacija, įskaitant aptarnavimo datą, sąskaitos sumą ir informaciją apie mokėjimą; ir medicininė informacija, apimanti tokius dalykus kaip diagnozės ir gydymas.
Tyrimo autoriai skirstė demografinę informaciją toliau skirstydami socialinio draudimo numerius ir gimimo datas į „neskelbtiną demografinę informaciją“, o finansinę informaciją, įskaitant mokėjimo korteles ir banko duomenis, į „neskelbtiną finansinę informaciją“.
Šios kategorijos yra tinkamos išnaudoti tiems, kurie nori įvykdyti tapatybės vagystes ar finansinį sukčiavimą.
Tikslo pažinimas yra pagrindinė mūšio dalis
Norėdami gauti pažeistą medicininę informaciją, mokslininkai priskyrė specifines diagnozes ir gydymo galimybes „jautrios medicininės informacijos“ kategorijai. Tai apėmė ŽIV statusą, lytiškai plintančias ligas, piktnaudžiavimą narkotinėmis medžiagomis, psichinę sveikatą ir vėžį. Tai galėjo sukelti rimtų privatumo pažeidimų dalyvaujantiems žmonėms.
Maždaug 70% duomenų pažeidimų buvo susiję su slapta demografine ar finansine informacija. Tai reiškia, kad tapatybės vagystės ir finansinis sukčiavimas gali būti daugumos tų, kurie įsilaužia į tokio pobūdžio informaciją, tikslas.
Tačiau 20 duomenų pažeidimų pažeidė neskelbtiną medicininę informaciją, kuri paveikė maždaug 2 milijonus žmonių.
„Nesuprasdami, ko nori priešas, negalime laimėti mūšio“, - sako Ge Bai, Johns Hopkins Carey verslo mokyklos ir Bloomberg visuomenės sveikatos mokyklos apskaitos docentas. „Žinodami, kokia yra įsilaužėlių informacija, galime sustiprinti pastangas apsaugoti pacientų informaciją.“
Būsimi tyrimo žingsniai ir pasekmės
Šiame tyrime dalyvaujantys asmenys rekomenduoja reguliavimo institucijoms, tokioms kaip Sveikatos apsaugos departamentas, stengtis oficialiai rinkti informaciją, kuri nuteka per duomenų pažeidimą, ir informuoti visuomenę.
Jie sako, kad tai padės nukentėjusiems įvertinti galimą žalą. Be to, įstaigos, turinčios ribotus išteklius, galėtų imtis priemonių apriboti prieinamos informacijos kiekį iki galimo duomenų pažeidimo. Pavyzdžiui, jie galėjo saugoti finansinę ir demografinę informaciją skirtinguose serveriuose.
Tyrėjai teigia, kad kita susirūpinimą kelianti sritis yra Sveikatos ir žmogiškųjų paslaugų departamentas bei Kongresas. Organizacija neseniai įvedė naujas taisykles, skatinančias daugiau dalytis duomenimis. Tyrėjų teigimu, dalijimasis duomenimis turi nemalonų šalutinį poveikį, padidinantį duomenų pažeidimų riziką.
Vis dėlto jau yra planų, kaip prof. Jiangas ir Bai bendradarbiaus su įstatymų leidėjais ir organizacijomis, kad asmeninė informacija būtų kuo saugesnė.
