Verstöße gegen Krankenhausdaten können zu Identitätsdiebstahl und Finanzbetrug führen
Hacker zielen nicht immer auf Einzelhandelsgeschäfte und Banken ab. Sie zielen auch auf Krankenhäuser ab. Auf diese Weise können sie eine erhebliche Menge äußerst sensibler Informationen erhalten.
Jüngste Forschungsergebnisse identifizieren, welche Arten von Informationshackern während einer Verletzung von Krankenhausdaten stehlen.
Forscher der Michigan State University (MSU) in East Lansing und der Johns Hopkins University in Baltimore, MD, haben herausgefunden, welche Arten von Daten bei Verstößen gegen Krankenhausdaten von sicheren Servern verloren gehen. Sie veröffentlichten ihre Studie in der Annalen der Inneren Medizin.
Diese Art von Datenverletzung kann schwerwiegende Folgen für die Personen haben, deren Informationen die Hacker erhalten, sagt John (Xuefeng) Jiang, Hauptautor und MSU-Professor für Buchhaltungs- und Informationssysteme. Er fügt hinzu, dass nicht immer Finanzbetrug oder Identitätsdiebstahl die Folge sind. Dies kann auch zum Missbrauch sensibler medizinischer Informationen führen.
Potenzial für Betrug, Identitätsdiebstahl und mehr
"Die wichtigste Geschichte, die wir von Opfern gehört haben, war, wie kompromittierte, sensible Informationen zu finanziellen oder Reputationsverlusten führten", sagt Prof. Jiang. "Ein Krimineller kann eine betrügerische Steuererklärung einreichen oder eine Kreditkarte unter Verwendung der Sozialversicherungsnummer und des Geburtsdatums beantragen, die aus einem Verstoß gegen die Krankenhausdaten hervorgegangen sind."
Dies ist die erste Untersuchung, die Details zu Art und Menge der durch Hacking-Vorfälle erhaltenen Informationen zur öffentlichen Gesundheit enthüllt hat. Die Forscher schätzen, dass die 1.461 Datenverletzungen, die über einen Zeitraum von 10 Jahren von 2009 bis 2019 stattfanden, 169 Millionen Menschen betrafen.
Um festzustellen, welche Daten gefährdet waren, teilten die Forscher Informationen in eine von drei Kategorien ein: demografische Informationen, einschließlich Namen und E-Mail-Adressen; Finanzinformationen, einschließlich Datum der Zustellung, Rechnungsbetrag und Zahlungsinformationen; und medizinische Informationen, einschließlich Elemente wie Diagnosen und Behandlung.
Die Autoren der Studie haben demografische Informationen weiter aufgeschlüsselt, indem sie Sozialversicherungsnummern und Geburtsdaten in „sensible demografische Informationen“ und Finanzinformationen, einschließlich Zahlungskarten und Bankdaten, in „sensible Finanzinformationen“ unterteilt haben.
Diese Kategorien sind reif für die Ausbeutung durch diejenigen, die Identitätsdiebstahl oder Finanzbetrug begehen möchten.
Das Ziel zu kennen ist ein wichtiger Teil des Kampfes
Für kompromittierte medizinische Informationen stuften die Forscher bestimmte Diagnosen und Behandlungsoptionen in eine Kategorie „sensible medizinische Informationen“ ein. Dazu gehörten der HIV-Status, sexuell übertragbare Krankheiten, Drogenmissbrauch, psychische Gesundheit und Krebs. Diese hatten das Potenzial für schwerwiegende Datenschutzverletzungen für die beteiligten Personen.
Rund 70% der Datenschutzverletzungen betrafen sensible demografische oder finanzielle Informationen. Dies bedeutet, dass Identitätsdiebstahl und Finanzbetrug das Ziel der Mehrheit derjenigen sein können, die diese Art von Informationen hacken.
20 der Datenverletzungen gefährdeten jedoch sensible medizinische Informationen, von denen rund 2 Millionen Menschen betroffen waren.
"Ohne zu verstehen, was der Feind will, können wir den Kampf nicht gewinnen", sagt Ge Bai, außerordentlicher Professor für Rechnungswesen an der Johns Hopkins Carey Business School und der Bloomberg School of Public Health. "Wenn wir wissen, nach welchen spezifischen Informationen Hacker suchen, können wir unsere Bemühungen zum Schutz von Patienteninformationen verstärken."
Zukünftige Schritte und Implikationen der Studie
Die an dieser Studie Beteiligten empfehlen den Aufsichtsbehörden wie dem Gesundheitsministerium, sich zu bemühen, die Arten von Informationen, die während eines Datenschutzverstoßes herauskommen, förmlich zu sammeln und die Öffentlichkeit zu informieren.
Sie sagen, dies werde den Betroffenen helfen, mögliche Schäden einzuschätzen. Außerdem könnten Institutionen mit begrenzten Ressourcen Maßnahmen ergreifen, um die Menge an Informationen zu begrenzen, auf die ein möglicher Datenverstoß zugreifen kann. Beispielsweise könnten sie finanzielle und demografische Informationen auf verschiedenen Servern speichern.
Die Forscher sagen, dass ein weiteres Anliegen das Ministerium für Gesundheit und menschliche Dienste und den Kongress betrifft. Die Organisation hat kürzlich neue Regeln eingeführt, um mehr Datenaustausch zu fördern. Laut den Forschern hat der Datenaustausch den unglücklichen Nebeneffekt, dass das Risiko von Datenverletzungen erhöht wird.
Es gibt jedoch bereits Pläne, dass Prof. Jiang und Bai mit Gesetzgebern und Organisationen zusammenarbeiten, um sicherzustellen, dass personenbezogene Daten so sicher wie möglich sind.
