Dataintrång på sjukhus kan leda till identitetsstöld, ekonomiska bedrägerier
Hackare riktar sig inte alltid mot butiker och banker; de riktar sig också till sjukhus. Genom att göra det kan de få en betydande mängd extremt känslig information.
Ny forskning identifierar vilka typer av information som hackare stjäl under ett dataintrång på sjukhus.
Forskare från Michigan State University (MSU) i East Lansing och Johns Hopkins University i Baltimore, MD, avslöjade vilka typer av data läcker från säkra servrar under sjukhusdataintrång. De publicerade sin studie i Annaler för internmedicin.
Denna typ av dataintrång kan få allvarliga konsekvenser för människor vars information hackarna får, säger John (Xuefeng) Jiang, huvudförfattare och MSU-professor i redovisning och informationssystem. Han tillägger att det inte alltid är ekonomiskt bedrägeri eller identitetsstöld som sker som ett resultat. Det kan också leda till missbruk av känslig medicinsk information.
Potential för bedrägeri, identitetsstöld och mer
"Den stora historien vi hört från offren var hur komprometterad, känslig information orsakade ekonomisk förlust eller rykteförlust", säger professor Jiang. "En brottsling kan lämna in en bedräglig skattedeklaration eller ansöka om ett kreditkort med personnummer och födelsedatum som läckt ut från ett sjukdomsbrott."
Detta är den första forskningen som har avslöjat detaljer om typer och mängder av folkhälsoinformation som erhållits genom hackingincidenter. Forskarna uppskattar att de 1 461 dataintrång som ägde rum under tio år från 2009 till 2019 påverkade 169 miljoner människor.
För att identifiera vilka data som var i riskzonen delade forskarna informationen i en av tre kategorier: demografisk information, som inkluderar namn och e-postadresser; finansiell information, inklusive datum för tjänst, faktureringsbelopp och betalningsinformation; och medicinsk information, som inkluderar saker som diagnoser och behandling.
Studieförfattarna delade ned demografisk information ytterligare genom att kategorisera personnummer och födelsedatum i "känslig demografisk information" och finansiell information, som inkluderade betalkort och bankuppgifter, i "känslig finansiell information."
Dessa kategorier är mogna för exploatering från dem som vill begå identitetsstöld eller ekonomiskt bedrägeri.
Att känna till målet är en viktig del av striden
För komprometterad medicinsk information placerade forskarna specifika diagnoser och behandlingsalternativ i en kategori "känslig medicinsk information". Dessa inkluderade HIV-status, sexuellt överförbara sjukdomar, missbruk, psykisk hälsa och cancer. Dessa hade potential för allvarliga kränkningar av privatlivet för de inblandade.
Cirka 70% av dataintrången omfattade känslig demografisk eller finansiell information. Detta innebär att identitetsstöld och ekonomiskt bedrägeri kan vara målet för majoriteten av dem som hackar denna typ av information.
20 av dataintrången komprometterade emellertid känslig medicinsk information, som drabbade cirka 2 miljoner människor.
"Utan att förstå vad fienden vill kan vi inte vinna striden", säger Ge Bai, docent i redovisning vid Johns Hopkins Carey Business School och Bloomberg School of Public Health. "Genom att veta vilken specifik information hackare är ute efter kan vi öka ansträngningarna för att skydda patientinformation."
Framtida steg och konsekvenser av studien
De som är involverade i denna studie rekommenderar att tillsynsmyndigheter, såsom Department of Health, anstränger sig för att formellt samla in de typer av information som läcker ut under ett dataintrång och informera allmänheten.
De säger att detta kommer att hjälpa de drabbade åsnorna potentiella skador. Dessutom kan institutioner som har begränsade resurser vidta åtgärder för att begränsa mängden information som är tillgänglig för ett eventuellt dataintrång. De kan till exempel lagra finansiell och demografisk information på olika servrar.
Forskarna säger att ett annat problemområde involverar avdelningen för hälsa och mänskliga tjänster och kongressen. Organisationen har nyligen infört nya regler för att uppmuntra till mer datadelning. Enligt forskarna har datadelning den olyckliga bieffekten att öka risken för dataintrång.
Det finns dock redan planer för att professor Jiang och Bai ska samarbeta med lagstiftare och organisationer för att säkerställa att personlig information är så säker som möjligt.
