Sairaalatietorikkomukset voivat johtaa henkilöllisyysvarkauksiin, taloudellisiin petoksiin
Hakkerit eivät aina kohdistu vähittäiskauppoihin ja pankkeihin; ne kohdistuvat myös sairaaloihin. Tällöin he voivat saada merkittävän määrän erittäin arkaluontoisia tietoja.
Viimeaikaiset tutkimukset tunnistavat, minkä tyyppisiä hakkereita varastaa sairaalan tietorikkomuksen aikana.
Tutkijat Michiganin osavaltion yliopistosta (MSU) East Lansingista ja Johns Hopkinsin yliopistosta Baltimoressa, MD, paljastivat, minkä tyyppisiä tietoja vuotaa suojatuista palvelimista sairaalan tietorikkomusten aikana. He julkaisivat tutkimuksensa Sisätautien vuosikirjat.
Tämän tyyppisellä tietoturvaloukkauksella voi olla vakavia seurauksia ihmisille, joiden tietoja hakkerit saavat, sanoo John (Xuefeng) Jiang, johtava kirjailija ja MSU: n kirjanpito- ja tietojärjestelmien professori. Hän lisää, että seurauksena ei aina ole taloudellinen petos tai henkilöllisyysvarkaus. Se voi myös johtaa arkaluonteisten lääketieteellisten tietojen väärinkäyttöön.
Mahdollisuus petoksiin, henkilöllisyysvarkauksiin ja muuhun
"Suurin uhrien kuulema tarina oli, kuinka vaarantunut, arkaluontoinen tieto aiheutti taloudellisia tai mainehäviöitä", sanoo professori Jiang. "Rikollinen voi tehdä petollisen veroilmoituksen tai hakea luottokorttia käyttämällä sairaalan tietorikkomuksesta vuotaneita sosiaaliturvatunnuksia ja syntymäaikoja."
Tämä on ensimmäinen tutkimus, joka on paljastanut yksityiskohtia hakkerointitapauksissa saatujen kansanterveystietojen tyypistä ja määrästä. Tutkijoiden arvion mukaan 1461 tietorikkomusta, jotka tapahtuivat 10 vuoden ajan vuosina 2009--2019, koskivat 169 miljoonaa ihmistä.
Vaarassa olevien tietojen tunnistamiseksi tutkijat jakoivat tiedot kolmeen luokkaan: väestötiedot, jotka sisältävät nimiä ja sähköpostiosoitteita; taloudelliset tiedot, mukaan lukien palvelupäivä, laskutuksen määrä ja maksutiedot; ja lääketieteelliset tiedot, jotka sisältävät esimerkiksi diagnooseja ja hoitoa.
Tutkimuksen tekijät erittelivät väestötietoja edelleen luokittelemalla sosiaaliturvatunnukset ja syntymäpäivät "arkaluontoisiksi väestötietoiksi" ja taloudelliset tiedot, jotka sisälsivät maksukortit ja pankkitiedot, "arkaluonteisiksi taloudellisiksi tiedoiksi".
Nämä luokat ovat kypsiä hyväksikäyttöön niiltä, jotka haluavat tehdä identiteettivarkauksia tai taloudellisia petoksia.
Kohteen tunteminen on keskeinen osa taistelua
Vaarantuneiden lääketieteellisten tietojen saamiseksi tutkijat sijoittivat erityiset diagnoosit ja hoitovaihtoehdot arkaluonteisiin lääketieteellisiin tietoihin. Näitä olivat HIV-tila, sukupuolitautit, päihteiden väärinkäyttö, mielenterveys ja syöpä. Nämä saattoivat aiheuttaa vakavia yksityisyyden loukkauksia asianomaisille ihmisille.
Noin 70% tietorikkomuksista koski arkaluonteisia väestötietoja tai taloudellisia tietoja. Tämä tarkoittaa, että identiteettivarkaudet ja taloudelliset petokset voivat olla useimpien tällaisten tietojen hakkeroijien tavoite.
20 tietorikkomuksesta vaarantaa kuitenkin arkaluonteiset lääketieteelliset tiedot, jotka koskivat noin 2 miljoonaa ihmistä.
"Emme voi voittaa taistelua ymmärtämättä, mitä vihollinen haluaa", sanoo Ge Bai, kirjanpidon apulaisprofessori Johns Hopkins Careyn kauppakorkeakoulusta ja Bloombergin kansanterveyskoulusta. "Kun tiedämme, että tietyt hakkerit ovat perässä, voimme tehostaa toimia potilastietojen suojaamiseksi."
Tutkimuksen tulevat vaiheet ja seuraukset
Tähän tutkimukseen osallistuneet suosittelevat, että sääntelyviranomaiset, kuten terveysministeriö, pyrkivät keräämään virallisesti tietoturvaloukkauksen aikana vuotavat tiedot ja ilmoittamaan asiasta yleisölle.
He sanovat, että tämä auttaa asianomaisia arvioimaan mahdollisia vahinkoja. Myös laitokset, joilla on rajalliset resurssit, voisivat ryhtyä toimiin rajoittaakseen saatavissa olevan tiedon määrää mahdolliseen tietorikkomukseen. He voivat esimerkiksi tallentaa taloutta ja väestötietoja eri palvelimille.
Tutkijoiden mukaan toinen huolenaihe liittyy terveys- ja henkilöstöosastoon sekä kongressiin. Organisaatio on äskettäin ottanut käyttöön uudet säännöt tietojen jakamisen lisäämiseksi. Tutkijoiden mukaan tietojen jakamisella on valitettava sivuvaikutus, joka lisää tietorikkomusten riskiä.
Suunnitelmat ovat kuitenkin jo olemassa, jotta professori Jiang ja Bai tekisivät yhteistyötä lainsäätäjien ja järjestöjen kanssa varmistaakseen, että henkilökohtaiset tiedot ovat mahdollisimman turvallisia.
