Vi phạm dữ liệu bệnh viện có thể dẫn đến đánh cắp danh tính, gian lận tài chính
Tin tặc không phải lúc nào cũng nhắm vào các cửa hàng bán lẻ và ngân hàng; họ cũng nhắm mục tiêu vào các bệnh viện. Bằng cách đó, họ có thể thu được một lượng lớn thông tin cực kỳ nhạy cảm.
Nghiên cứu gần đây xác định những loại thông tin mà tin tặc đánh cắp trong một vụ vi phạm dữ liệu bệnh viện.
Các nhà nghiên cứu từ Đại học Bang Michigan (MSU) ở Đông Lansing và Đại học Johns Hopkins ở Baltimore, MD, đã tiết lộ những loại dữ liệu bị rò rỉ từ các máy chủ an toàn trong các vụ vi phạm dữ liệu bệnh viện. Họ đã công bố nghiên cứu của mình trên Biên niên sử của Y học Nội khoa.
Theo John (Xuefeng) Jiang, tác giả chính và giáo sư hệ thống thông tin và kế toán MSU, loại vi phạm dữ liệu này có thể gây ra hậu quả nghiêm trọng cho những người có thông tin mà tin tặc thu được. Ông nói thêm rằng không phải lúc nào gian lận tài chính hoặc đánh cắp danh tính cũng xảy ra. Nó cũng có thể dẫn đến việc lạm dụng thông tin y tế, nhạy cảm.
Có khả năng gian lận, đánh cắp danh tính và hơn thế nữa
“Câu chuyện chính mà chúng tôi nghe được từ các nạn nhân là thông tin nhạy cảm bị xâm phạm đã gây ra tổn thất tài chính hoặc danh tiếng như thế nào,” GS Jiang nói. “Tội phạm có thể khai thuế gian lận hoặc đăng ký thẻ tín dụng bằng cách sử dụng số an sinh xã hội và ngày sinh bị rò rỉ do vi phạm dữ liệu bệnh viện”.
Đây là nghiên cứu đầu tiên tiết lộ chi tiết về các loại và lượng thông tin y tế công cộng thu được thông qua các sự cố hack. Các nhà nghiên cứu ước tính rằng 1.461 vụ vi phạm dữ liệu diễn ra trong 10 năm từ 2009 đến 2019 đã ảnh hưởng đến 169 triệu người.
Để xác định dữ liệu nào có nguy cơ, các nhà nghiên cứu đã chia thông tin thành một trong ba loại: thông tin nhân khẩu học, bao gồm tên và địa chỉ email; thông tin tài chính, bao gồm ngày phục vụ, số tiền thanh toán và thông tin thanh toán; và thông tin y tế, bao gồm các mục như chẩn đoán và điều trị.
Các tác giả nghiên cứu đã chia nhỏ thông tin nhân khẩu học bằng cách phân loại số an sinh xã hội và ngày sinh thành “thông tin nhân khẩu học nhạy cảm” và thông tin tài chính, bao gồm thẻ thanh toán và chi tiết ngân hàng, thành “thông tin tài chính nhạy cảm”.
Những danh mục này đã chín muồi để khai thác từ những người muốn thực hiện hành vi trộm cắp danh tính hoặc gian lận tài chính.
Biết được mục tiêu là một phần quan trọng của trận chiến
Đối với thông tin y tế bị xâm phạm, các nhà nghiên cứu đã đặt các chẩn đoán và lựa chọn điều trị cụ thể vào danh mục "thông tin y tế nhạy cảm". Chúng bao gồm tình trạng nhiễm HIV, các bệnh lây truyền qua đường tình dục, lạm dụng chất kích thích, sức khỏe tâm thần và ung thư. Những điều này có khả năng vi phạm quyền riêng tư nghiêm trọng cho những người liên quan.
Khoảng 70% các vi phạm dữ liệu liên quan đến thông tin tài chính hoặc nhân khẩu học nhạy cảm. Điều này có nghĩa là ăn cắp danh tính và gian lận tài chính có thể là mục tiêu của đa số những kẻ hack loại thông tin này.
Tuy nhiên, 20 trong số các vụ vi phạm dữ liệu đã làm tổn hại đến thông tin y tế nhạy cảm, ảnh hưởng đến khoảng 2 triệu người.
Ge Bai, phó giáo sư kế toán tại Trường Kinh doanh Johns Hopkins Carey và Trường Y tế Công cộng Bloomberg cho biết: “Không hiểu kẻ thù muốn gì, chúng ta không thể thắng trận. "Bằng cách biết thông tin cụ thể mà tin tặc đang theo dõi, chúng tôi có thể tăng cường nỗ lực để bảo vệ thông tin bệnh nhân."
Các bước trong tương lai và ý nghĩa của nghiên cứu
Những người tham gia vào nghiên cứu này khuyến nghị rằng các cơ quan quản lý, chẳng hạn như Bộ Y tế, hãy nỗ lực thu thập chính thức các loại thông tin bị rò rỉ ra ngoài khi vi phạm dữ liệu và thông báo cho công chúng.
Họ nói rằng điều này sẽ giúp những người bị ảnh hưởng có thể bị thiệt hại. Ngoài ra, các tổ chức có nguồn lực hạn chế có thể thực hiện các bước để hạn chế lượng thông tin có thể truy cập được nếu có thể xảy ra vi phạm dữ liệu. Ví dụ: họ có thể lưu trữ thông tin tài chính và nhân khẩu học trên các máy chủ khác nhau.
Các nhà nghiên cứu nói rằng một lĩnh vực quan tâm khác liên quan đến Bộ Y tế và Dịch vụ Nhân sinh và Quốc hội. Tổ chức này gần đây đã đưa ra các quy tắc mới để khuyến khích chia sẻ dữ liệu nhiều hơn. Theo các nhà nghiên cứu, việc chia sẻ dữ liệu có tác dụng phụ đáng tiếc là làm tăng nguy cơ vi phạm dữ liệu.
Tuy nhiên, Giáo sư Jiang và Bai đã có kế hoạch làm việc với các nhà lập pháp và các tổ chức để đảm bảo thông tin cá nhân được an toàn nhất có thể.
