Здравни компании, а не хакери, попиляват пациентските данни

Звучи неприятно – личните ни здравни данни да се окажат на показ или да попаднат в ръцете на хора, на които изобщо не им е работа да знаят тънки подробности за здравето ни. Не бихме искали злонамерени хакери да се доберат до тази твърде лична информация. Но, оказва се, когато става въпрос за пробиви и „течове“ на здравни данни, не толкова хакерите, колкото болниците, лекарите и дори застрахователните компании са виновни.

Ново изследване на Мичиганския държавен университет и университета „Джон Хопкинс“ разкрива, че повече от половината от пробивите при личната здравна информация се дължат на вътрешни проблеми при медицинските доставчици – не на атаки на хакери или други външни страни.

„Вярно, че няма перфектен начин за съхраняване на информация, но повече от половината от случаите, които разгледахме, не бяха предизвикани от външни фактори, а от вътрешна небрежност“, казва Джон Ксуфенг Джианг, водещ автор на проучването и доцент по счетоводни и информационни системи в Мичиганския държавен университет. Данните от анализа бяха публикувани в медицинското списание JAMA Internal Medicine.

За своето проучване Джианг и съавторът му Ге Бай, главен асистент в университета „Джон Хопкинс“, са прегледали 1150 случая на пробиви в архиви с лични здравни данни в САЩ, случили се в периода октомври 2009 – декември 2017, при които са били засегнати 164 милиона пациенти. Учените търсили какво „задейства“ пробивите в личните здравни досиета.

„Всеки път, когато при дадена болница е налице пробив в данните, това трябва да се докладва на Департамента по здравеопазване и човешки услуги и да класифицира причината“, казва Джианг. „Тези причини попадат в шест категории: кражба, неоторизиран достъп, хакерство или ИТ инцидент, загуба, неправилно разпореждане или нещо друго“.

След прегледа на докладите Джиянг и Бай установили, че 53% от случаите на пробив са резултат от вътрешни фактори в здравните заведения. „Една четвърт от всички случаи са причинени от неоторизиран достъп или разкриване. Това е повече от два пъти повече от броя на случаите, причинени от атака на външни хакери“, казва Джианг.

„Може да става дума за служител, който взема лични здравни данни у дома си, или ги препраща на личен акаунт на свое устройство, достъпва данни без необходимото разрешение, а дори и случаи на грешка в електронната поща, като например изпращане до грешен получател, копиране вместо сляпо копиране, или пък споделяне на некриптирано съдържание“, допълва той.

Макар че някои от грешките изглеждат съвсем естествени, Джианг казва, че „големите грешки“ могат да доведат до още по-големи проблеми и че привидно безобидни грешки могат да компрометират личните данни на пациентите. „Болниците, лекарите, застрахователните компании, малките лекарски кабинети и дори аптеките правят такива грешки – и излагат пациентите на риск“.

Що се касае до външните атаки, кражбите съставляват 33% от нападенията, а хакванията са само 12%. Някои от нарушенията могат да доведат до „незначителни“ последици, като например получаване на телефонни номера на пациенти. Други обаче могат да имат много по-инвазивни ефекти. Например при един от пробивите, при който са засегнати 37,5 милиона здравни досиета, много от жертвите не са уведомени незабавно, а разбират за ситуацията, когато от сметките им са изтеглени крупни суми.

Без съмнение софтуерните и хардуерните решения за сигурност могат да предпазват от кражби и хакери, но Джианг и Бай предлагат доставчиците на здравни услуги да поработят по-усърдно за въвеждане на вътрешни политики и процедури, които целят „затягане“ на процедурите и предотвратяване на изтичането на здравни досиета. Обичайно за целта е достатъчно да се следва набор от „прости протоколи“.

„Добрата новина е, че „пълното въоръжение“ не е трудно за „обличане“, ако се следват прости протоколи за защита“, казва Бай. Той и джианг планират да разгледат още по-внимателно въпроса какви точно здравни данни са били обект на кражби или хакерски атаки, за да разберат по-добре какво точно измежду всичките пациентски данни вълнува дигиталните крадци и разбойници.

Коментар