Le violazioni dei dati ospedalieri potrebbero portare a furti di identità, frodi finanziarie
Gli hacker non prendono sempre di mira i negozi al dettaglio e le banche; prendono di mira anche gli ospedali. In questo modo, possono ottenere una quantità significativa di informazioni estremamente sensibili.
Una recente ricerca identifica i tipi di informazioni che gli hacker rubano durante una violazione dei dati ospedalieri.
I ricercatori della Michigan State University (MSU) di East Lansing e della Johns Hopkins University di Baltimora, MD, hanno rivelato quali tipi di fuga di dati da server sicuri durante le violazioni dei dati ospedalieri. Hanno pubblicato il loro studio in Annali di medicina interna.
Questo tipo di violazione dei dati può avere gravi conseguenze per le persone le cui informazioni vengono ottenute dagli hacker, afferma John (Xuefeng) Jiang, autore principale e professore di contabilità e sistemi informativi della MSU. Aggiunge che non è sempre una frode finanziaria o un furto di identità che si verificano di conseguenza. Può anche portare a un uso improprio di informazioni mediche sensibili.
Potenziale di frode, furto di identità e altro
"La storia principale che abbiamo sentito dalle vittime è stata come le informazioni sensibili e compromesse abbiano causato la perdita finanziaria o di reputazione", afferma il prof. Jiang. "Un criminale potrebbe presentare una dichiarazione dei redditi fraudolenta o richiedere una carta di credito utilizzando il numero di previdenza sociale e le date di nascita trapelate a causa di una violazione dei dati ospedalieri".
Questa è la prima ricerca che ha rivelato dettagli sui tipi e sulla quantità di informazioni sulla salute pubblica ottenute tramite incidenti di pirateria informatica. I ricercatori stimano che le 1.461 violazioni dei dati avvenute in 10 anni dal 2009 al 2019 abbiano avuto un impatto su 169 milioni di persone.
Per identificare quali dati erano a rischio, i ricercatori hanno suddiviso le informazioni in una delle tre categorie: informazioni demografiche, che includono nomi e indirizzi e-mail; informazioni finanziarie, inclusa la data del servizio, l'importo della fatturazione e le informazioni di pagamento; e informazioni mediche, che includono elementi come diagnosi e cure.
Gli autori dello studio hanno ulteriormente suddiviso le informazioni demografiche classificando i numeri di previdenza sociale e le date di nascita in "informazioni demografiche sensibili" e le informazioni finanziarie, che includevano carte di pagamento e dettagli bancari, in "informazioni finanziarie sensibili".
Queste categorie sono mature per lo sfruttamento da parte di coloro che vogliono commettere furti di identità o frodi finanziarie.
Conoscere l'obiettivo è una parte fondamentale della battaglia
Per le informazioni mediche compromesse, i ricercatori hanno inserito diagnosi specifiche e opzioni di trattamento in una categoria di "informazioni mediche sensibili". Questi includevano lo stato dell'HIV, malattie a trasmissione sessuale, abuso di sostanze, salute mentale e cancro. Questi avevano il potenziale per gravi violazioni della privacy per le persone coinvolte.
Circa il 70% delle violazioni dei dati riguardava informazioni demografiche o finanziarie sensibili. Ciò significa che il furto di identità e la frode finanziaria possono essere l'obiettivo della maggior parte di coloro che hackerano questo tipo di informazioni.
Tuttavia, 20 delle violazioni dei dati hanno compromesso informazioni mediche sensibili, che hanno colpito circa 2 milioni di persone.
"Senza capire cosa vuole il nemico, non possiamo vincere la battaglia", afferma Ge Bai, professore associato di contabilità presso la Johns Hopkins Carey Business School e la Bloomberg School of Public Health. "Conoscendo le informazioni specifiche che gli hacker cercano, possiamo intensificare gli sforzi per proteggere le informazioni dei pazienti".
Passaggi futuri e implicazioni dello studio
Coloro che sono coinvolti in questo studio raccomandano che le autorità di regolamentazione, come il Dipartimento della Salute, si sforzino di raccogliere formalmente i tipi di informazioni che trapelano durante una violazione dei dati e di informare il pubblico.
Dicono che questo aiuterà le persone colpite a valutare potenziali danni. Inoltre, le istituzioni che dispongono di risorse limitate potrebbero adottare misure per limitare la quantità di informazioni accessibili a una possibile violazione dei dati. Ad esempio, potrebbero archiviare informazioni finanziarie e demografiche su server diversi.
I ricercatori affermano che un'altra area di preoccupazione riguarda il Dipartimento della salute e dei servizi umani e il Congresso. L'organizzazione ha recentemente introdotto nuove regole per incoraggiare una maggiore condivisione dei dati. Secondo i ricercatori, la condivisione dei dati ha lo sfortunato effetto collaterale di aumentare il rischio di violazioni dei dati.
Tuttavia, sono già in atto piani per il Prof. Jiang e Bai di lavorare con i legislatori e le organizzazioni per garantire che le informazioni personali siano il più sicure possibile.
