Her er den slags data, hackere får om dig fra hospitaler

Når hospitaler bliver hacket, offentligheden hører om antallet af ofre – men ikke hvilken information de cyberkriminelle stjal. Ny forskning fra Michigan State University og Johns Hopkins University er den første til at afsløre de specifikke data lækket gennem hospitalsbrud, lydende alarmklokker for næsten 170 millioner mennesker.

"Den vigtigste historie, vi hørte fra ofrene, var, hvor kompromitteret, følsomme oplysninger forårsaget økonomisk eller omdømmetab, " sagde John (Xuefeng) Jiang, hovedforfatter og MSU-professor i regnskabs- og informationssystemer. "En kriminel kan indgive en svigagtig selvangivelse eller ansøge om et kreditkort ved hjælp af cpr-nummeret og fødselsdatoerne lækket fra et databrud på hospitalet."

Indtil nu, forskere har ikke været i stand til at klassificere typen eller mængden af ​​folkesundhedsoplysninger lækket gennem brud; dermed, får aldrig et præcist billede af bredden eller konsekvenserne.

Fundene, udgivet i Annals of Intern Medicine , omfatter 1, 461 brud, der skete mellem oktober 2009 og juli 2019.

Jiang og medforfatter Ge Bai, lektor i regnskab ved Johns Hopkins Carey Business School og Bloomberg School of Public Health, opdaget, at 169 millioner mennesker har fået en eller anden form for information afsløret på grund af hackere.

For at afdække, hvilke specifikke oplysninger der blev afsløret, forskerne klassificerede data i tre kategorier:demografiske, såsom navne, e-mailadresser og andre personlige identifikatorer; service eller finansielle oplysninger, som inkluderede servicedato, faktureringsbeløb, Betalingsinformation; og medicinsk information, såsom diagnoser eller behandling.

"Vi klassificerede yderligere socialsikrings- og kørekortnumre og fødselsdatoer som følsomme demografiske oplysninger, og betalingskort og bankkonti som følsomme økonomiske oplysninger. Begge typer kan udnyttes til identitetstyveri eller økonomisk bedrageri, " sagde Jiang. "Inden for medicinsk information, vi klassificerede oplysninger relateret til stofmisbrug, HIV, seksuelt overførte sygdomme, mental sundhed og kræft som følsom medicinsk information på grund af deres væsentlige konsekvenser for privatlivets fred."

Over 70 % af overtrædelserne kompromitterede følsomme demografiske eller finansielle data, der kunne føre til identitetstyveri eller økonomisk bedrageri. Mere end 20 brud kompromitterede følsomme helbredsoplysninger, som berørte 2 millioner mennesker.

"Uden at forstå, hvad fjenden vil, vi kan ikke vinde kampen, " sagde Bai. "Ved at kende den specifikke information hackere er ude efter, vi kan øge indsatsen for at beskytte patientoplysninger."

Med en nyfundet forståelse af, hvilke eksplicitte data der blev lækket - og hvor mange i løbet af det sidste årti, der blev berørt - tilbyder forskerne hospitaler og sundhedsudbydere forslag til, hvordan man bedre kan beskytte patienters følsomme oplysninger.

Forskerne foreslår, at sundhedsministeriet og andre regulatorer formelt indsamler de typer oplysninger, der er kompromitteret i et databrud for at hjælpe offentligheden med at vurdere de potentielle skader. Hospitaler og andre sundhedsudbydere, Jiang sagde, effektivt kunne reducere risikoen for databrud ved at fokusere på at sikre information, hvis de har begrænsede ressourcer. For eksempel, implementering af separate systemer til at opbevare og kommunikere følsomme demografiske og finansielle oplysninger.

Jiang bemærkede, at Department of Health and Human Services og Kongressen for nylig foreslog regler, der tilskynder til mere datadeling, hvilket øger risikoen for brud. Han sagde, at han og Bai planlægger at arbejde med lovgivere og industrier ved at give praktisk vejledning og råd ved hjælp af deres akademiske resultater.