Datalekken in ziekenhuizen kunnen leiden tot identiteitsdiefstal en financiële fraude
Hackers richten zich niet altijd op winkels en banken; ze richten zich ook op ziekenhuizen. Door dit te doen, kunnen ze een aanzienlijke hoeveelheid uiterst gevoelige informatie verkrijgen.
Recent onderzoek heeft uitgewezen welke soorten informatie hackers stelen tijdens een datalek in een ziekenhuis.
Onderzoekers van de Michigan State University (MSU) in East Lansing en de Johns Hopkins University in Baltimore, MD, hebben onthuld welke soorten gegevens uit beveiligde servers lekken tijdens datalekken in ziekenhuizen. Ze publiceerden hun studie in de Annals of Internal Medicine.
Dit type datalek kan ernstige gevolgen hebben voor de mensen van wie de informatie de hackers verkrijgen, zegt John (Xuefeng) Jiang, hoofdauteur en MSU-hoogleraar boekhouding en informatiesystemen. Hij voegt eraan toe dat daardoor niet altijd financiële fraude of identiteitsdiefstal plaatsvindt. Het kan ook leiden tot misbruik van gevoelige, medische informatie.
Potentieel voor fraude, identiteitsdiefstal en meer
"Het belangrijkste verhaal dat we van slachtoffers hoorden, was hoe gecompromitteerde, gevoelige informatie financiële schade of reputatieschade veroorzaakte", zegt prof. Jiang. "Een crimineel kan een frauduleuze belastingaangifte indienen of een creditcard aanvragen met het burgerservicenummer en de geboortedata die zijn gelekt uit een datalek in een ziekenhuis."
Dit is het eerste onderzoek dat details heeft onthuld over de soorten en de hoeveelheid volksgezondheidsinformatie die is verkregen door hackincidenten. De onderzoekers schatten dat de 1.461 datalekken die plaatsvonden gedurende 10 jaar van 2009 tot 2019 169 miljoen mensen troffen.
Om te bepalen welke gegevens gevaar liepen, verdeelden onderzoekers de informatie in een van de drie categorieën: demografische informatie, waaronder namen en e-mailadressen; financiële informatie, inclusief datum van dienst, factuurbedrag en betalingsinformatie; en medische informatie, waaronder zaken als diagnoses en behandeling.
De auteurs van het onderzoek splitsten demografische informatie verder op door burgerservicenummers en geboortedata te categoriseren in 'gevoelige demografische informatie' en financiële informatie, waaronder betaalkaarten en bankgegevens, in 'gevoelige financiële informatie'.
Deze categorieën zijn rijp voor uitbuiting door degenen die identiteitsdiefstal of financiële fraude willen plegen.
Het doelwit kennen is een belangrijk onderdeel van de strijd
Voor gecompromitteerde medische informatie plaatsten de onderzoekers specifieke diagnoses en behandelingsopties in de categorie "gevoelige medische informatie". Deze omvatten de hiv-status, seksueel overdraagbare aandoeningen, middelenmisbruik, geestelijke gezondheid en kanker. Deze hadden het potentieel voor ernstige privacyschendingen voor de betrokkenen.
Ongeveer 70% van de datalekken betrof gevoelige demografische of financiële informatie. Dit betekent dat identiteitsdiefstal en financiële fraude het doel kunnen zijn van de meerderheid van degenen die dit soort informatie hacken.
20 van de datalekken brachten echter gevoelige medische informatie in gevaar, die ongeveer 2 miljoen mensen trof.
"Zonder te begrijpen wat de vijand wil, kunnen we de strijd niet winnen", zegt Ge Bai, universitair hoofddocent boekhouding aan de Johns Hopkins Carey Business School en Bloomberg School of Public Health. "Door te weten welke informatie hackers zoeken, kunnen we onze inspanningen opvoeren om patiëntinformatie te beschermen."
Toekomstige stappen en implicaties van de studie
De betrokkenen bij dit onderzoek bevelen aan dat toezichthouders, zoals het Department of Health, zich inspannen om formeel de soorten informatie die tijdens een datalek weglekken, te verzamelen en het publiek te informeren.
Ze zeggen dat dit de getroffenen zal helpen potentiële schade te beoordelen. Ook zouden instellingen met beperkte middelen maatregelen kunnen nemen om de hoeveelheid informatie die toegankelijk is voor een mogelijk datalek te beperken. Ze kunnen bijvoorbeeld financiële en demografische informatie op verschillende servers opslaan.
De onderzoekers zeggen dat een ander punt van zorg het Department of Health and Human Services and Congress betreft. De organisatie heeft onlangs nieuwe regels geïntroduceerd om meer gegevensuitwisseling aan te moedigen. Datadeling heeft volgens de onderzoekers als vervelende bijwerking dat het de kans op datalekken vergroot.
Er zijn echter al plannen voor prof. Jiang en Bai om met wetgevers en organisaties samen te werken om ervoor te zorgen dat persoonlijke informatie zo veilig mogelijk is.
