Brudd på sykehusdata kan føre til identitetstyveri, økonomisk svindel
Hackere retter seg ikke alltid mot butikker og banker; de retter seg også mot sykehus. Ved å gjøre dette kan de få en betydelig mengde ekstremt sensitiv informasjon.
Nyere forskning identifiserer hvilke typer informasjon hackere stjeler under brudd på sykehusdata.
Forskere fra Michigan State University (MSU) i East Lansing og Johns Hopkins University i Baltimore, MD, avslørte hvilke typer data som lekker fra sikre servere under databrudd på sykehus. De publiserte studien sin i Annaler for indremedisin.
Denne typen datainnbrudd kan ha alvorlige konsekvenser for folket hvis informasjon hackerne får tak i, sier John (Xuefeng) Jiang, hovedforfatter og MSU-professor i regnskap og informasjonssystemer. Han legger til at det ikke alltid er økonomisk svindel eller identitetstyveri som skjer som et resultat. Det kan også føre til misbruk av sensitiv, medisinsk informasjon.
Potensial for svindel, identitetstyveri og mer
"Den største historien vi har hørt fra ofrene var hvordan kompromittert, sensitiv informasjon forårsaket økonomisk tap eller omdømme," sier professor Jiang. "En kriminell kan sende inn en uredelig selvangivelse eller søke om kredittkort ved hjelp av personnummer og fødselsdato som er lekket fra sykehusets databrudd."
Dette er den første forskningen som har avdekket detaljer om typen og mengden folkehelseinformasjon innhentet gjennom hackinghendelser. Forskerne anslår at de 1 461 datainnbruddene som fant sted over 10 år fra 2009 til 2019 påvirket 169 millioner mennesker.
For å identifisere hvilke data som var i fare, delte forskere informasjon i en av tre kategorier: demografisk informasjon, som inkluderer navn og e-postadresser; finansiell informasjon, inkludert dato for tjeneste, faktureringsbeløp og betalingsinformasjon; og medisinsk informasjon, som inkluderer gjenstander som diagnoser og behandling.
Studieforfatterne brøt demografisk informasjon videre ved å kategorisere personnummer og fødselsdatoer i "sensitiv demografisk informasjon" og finansiell informasjon, som inkluderte betalingskort og bankopplysninger, i "sensitiv økonomisk informasjon."
Disse kategoriene er modne for utnyttelse fra de som ønsker å begå identitetstyveri eller økonomisk svindel.
Å kjenne målet er en viktig del av kampen
For kompromittert medisinsk informasjon plasserte forskerne spesifikke diagnoser og behandlingsalternativer i en kategori "sensitiv medisinsk informasjon". Disse inkluderte HIV-status, seksuelt overførbare sykdommer, rusmisbruk, mental helse og kreft. Disse hadde potensialet for alvorlige personvernbrudd for de involverte menneskene.
Rundt 70% av datainnbruddene involverte sensitiv demografisk eller økonomisk informasjon. Dette betyr at identitetstyveri og økonomisk svindel kan være målet for flertallet av de som hacker denne typen informasjon.
Imidlertid kom 20 av datainnbruddene i fare for sensitiv medisinsk informasjon, som berørte rundt 2 millioner mennesker.
"Uten å forstå hva fienden vil, kan vi ikke vinne kampen," sier Ge Bai, førsteamanuensis i regnskap ved Johns Hopkins Carey Business School og Bloomberg School of Public Health. "Ved å vite den spesifikke informasjonen hackere er ute etter, kan vi øke innsatsen for å beskytte pasientinformasjon."
Fremtidige trinn og implikasjoner av studien
De som er involvert i denne studien anbefaler at tilsynsmyndigheter, som departementet for helse, anstrenger seg for å formelt samle inn hvilke typer informasjon som lekker ut under et databrudd og informere offentligheten.
De sier at dette vil hjelpe de berørte rumpene potensielle skader. Også institusjoner som har begrensede ressurser kan ta skritt for å begrense mengden informasjon som er tilgjengelig for et mulig databrudd. For eksempel kan de lagre økonomisk og demografisk informasjon på forskjellige servere.
Forskerne sier at et annet bekymringsområde involverer Department of Health and Human Services and Congress. Organisasjonen har nylig innført nye regler for å oppmuntre til mer datadeling. Ifølge forskerne har datadeling den uheldige bivirkningen at den øker risikoen for datainnbrudd.
Det er imidlertid allerede planer om at prof. Jiang og Bai skal samarbeide med lovgivere og organisasjoner for å sikre at personlig informasjon er så sikker som mulig.
