Кража медицинской информации: риски для пациентов и организаций

На одном из форумов неизвестный хакер объявил, что якобы завладел данными пациентов компании 23andMe — одной из самых крупных в сфере ДНК-исследований. Организация уже начала расследование, масштаб проблемы пока выяснить не удалось.

Такие инциденты не редкость, о чем свидетельствует статистика утечек персональных данных медицинских организаций в последние годы.

Чем опасна для человека кража его медицинской информации?

В результате хакерских атак информация о физиологических и биологических особенностях человека оказывается в открытом доступе, и это может привести к негативным последствиям как для пациентов, так и для их родственников, вплоть до угрозы жизни и здоровью. Утечка такой чрезвычайно чувствительной информации о личности человека является опасной по ряду причин:

• Риск идентификации: генетические данные могут использоваться для идентификации личности, в том числе для определения родственных связей. Это может привести к возможности выявления наследственных заболеваний, интимных данных и другой частной информации, которую человек предпочел бы оставить в секрете.
• Потенциальные преступления: кража медицинских данных может стать отправной точкой для различных преступлений, включая мошенничество и вымогательство.
• Распространение медицинской информации: медицинские данные могут быть проданы или распространены на черном рынке, что может привести к серьезным последствиям для многих людей.

Как хакеры воруют данные?

Злоумышленники используют различные методы и техники для кражи данных из медицинских учреждений. К наиболее распространенным способам относятся:

• Фишинг, то есть отправка поддельного электронного письма, в котором злоумышленники пытаются обмануть сотрудников медицинской организации и получить доступ к учетным данным. Эти письма могут выглядеть как официальные запросы или уведомления от руководства.
• Вредоносное программное обеспечение: хакеры могут заразить информационные системы медицинской организации вредоносными программами, такими как вирусы и шпионские программы. Это позволяет им следить за активностью и собирать конфиденциальную информацию, включая медицинские данные.
• Внутренние угрозы: не всегда утечка информации происходит извне. Сотрудники медицинских организаций могут злоупотреблять своими привилегиями, чтобы получить доступ к медицинской информации и передать ее третьим лицам за плату.
• Неаккуратное обращение с данными: иногда медицинская информация может быть украдена из-за неосторожности в обращении с данными. Это может включать в себя случаи потери медицинских файлов или неверной утилизации устройств, содержащих чувствительную информацию.

Громкие утечки персональных данных

Применяемые злоумышленниками методы и способы кражи данных постоянно меняются, что увеличивает количество пострадавших. 

Например, В 2015 году американская медицинская компания «Premier Healthcare» допустила утечку данных о пациентах, хранящихся на ноутбуках персонала, в результате данные 205 000 человек оказались скомпрометированы. 

В 2018 году организация «Optical Center», которая проводит диагностику заболеваний и производит контактные линзы, допустила утечку персональных данных, что привело к распространению более 334 000 записей о пациентах, включая номер социального страхования, сведения об офтальмологическом обследовании и данные о здоровье. 

В 2020 году хакеры атаковали сервера компании «Magellan Health», специализирующейся на оказании управляемой медицинской помощи, в результате атаки были похищены данные уже 367 000 000 человек.

Россия также сталкивается с хакерскими атаками. В 2016 году компания «Инвитро», предоставляющая лабораторные услуги и медицинские исследования, столкнулась с кибератакой, что привело к публикации базы данных, содержащей 31 миллион строк с персональными данными клиентов. В 2022 году в результате уязвимостей ИТ системы компании «Гемотест» в открытый доступ попала база данных в количестве 30,5 миллионов строк, включая персональные данные пациентов.

Как уменьшить риск утечки данных? 

Для того, чтобы минимизировать риск утечки ваших данных, мы рекомендуем придерживаться следующих правил:

1. Перед предоставлением личных данных удостоверьтесь, что медицинская организация имеет четкую и понятную политику конфиденциальности. Ознакомьтесь с политикой перед получением услуг
2. Узнайте, какая информация является обязательной для предоставления по закону и как медицинская организация обеспечивает защиту ваших данных
3. Если медицинская организация предоставляет возможность входа в личный кабинет или онлайн-портал, используйте уникальные пароли и включите двухфакторную аутентификацию для усиления безопасности доступа к вашим персональным данным
4. Используйте безопасные онлайн-порталы или зашифрованные методы связи для общения с медицинской организацией через Интернет
5. Проверяйте свою медицинскую историю, чтобы убедиться, что все записи корректны и не содержат неправильной информации

Так или иначе, даже при соблюдении всех правил, персональные данные могут быть украдены. Если утечка уже произошла, в первую очередь следует предпринять меры по смене паролей ваших учетных записей.

В зависимости от характера преступления и степени его тяжести, организации могут быть привлечены к ответственности за нарушение законодательства о защите персональных данных. Также возможно предъявление гражданского иска о возмещении ущерба, причиненного кражей ваших персональных данных.

Кража медицинской информации — это серьезная угроза для пациентов и организаций здравоохранения, поэтому необходимо приложить все усилия для защиты данных. Современные технологии помогают в борьбе с этой проблемой, но важно также повысить осведомленность среди пациентов и сотрудников о мероприятиях по обеспечению безопасности информации.

С уважением, эксперт компании Б-152. Мы технологично и с высоким сервисом решаем задачи бизнеса по privacy и информационной безопасности.