Als ziekenhuizen worden gehackt, het publiek hoort over het aantal slachtoffers, maar niet welke informatie de cybercriminelen hebben gestolen. Nieuw onderzoek van de Michigan State University en de Johns Hopkins University is het eerste dat de specifieke gegevens blootlegt die zijn gelekt door ziekenhuisinbreuken, alarmbellen rinkelen voor bijna 170 miljoen mensen.

"Het belangrijkste verhaal dat we van slachtoffers hoorden, was hoe gecompromitteerd, gevoelige informatie veroorzaakt financieel of reputatieverlies, " zei John (Xuefeng) Jiang, hoofdauteur en MSU-hoogleraar boekhoud- en informatiesystemen. "Een crimineel kan een frauduleuze belastingaangifte indienen of een creditcard aanvragen met behulp van het burgerservicenummer en de geboortedata die zijn gelekt uit een datalek in een ziekenhuis."

Tot nu, onderzoekers zijn niet in staat geweest om het soort of de hoeveelheid volksgezondheidsinformatie te classificeren die door inbreuken is gelekt; dus, nooit een juist beeld krijgen van de omvang of gevolgen.

De bevindingen, gepubliceerd in Annalen van de interne geneeskunde , omvatten 1, 461 inbreuken die plaatsvonden tussen oktober 2009 en juli 2019.

Jiang en co-auteur Ge Bai, universitair hoofddocent boekhouding aan de Johns Hopkins Carey Business School en de Bloomberg School of Public Health, ontdekte dat 169 miljoen mensen een of andere vorm van informatie hebben blootgelegd vanwege hackers.

Om te achterhalen welke specifieke informatie is blootgesteld, de onderzoekers hebben de gegevens ingedeeld in drie categorieën:demografische, zoals namen, e-mailadressen en andere persoonlijke identificatiegegevens; service of financiële informatie, inclusief onderhoudsdatum, gefactureerde hoeveelheid, betalingsinformatie; en medische informatie, zoals diagnose of behandeling.

"We classificeerden verder socialezekerheids- en rijbewijsnummers en geboortedata als gevoelige demografische informatie, en betaalkaarten en bankrekeningen als gevoelige financiële informatie. Beide typen kunnen worden uitgebuit voor identiteitsdiefstal of financiële fraude, Jiang zei. "Binnen medische informatie, we hebben informatie geclassificeerd met betrekking tot middelenmisbruik, hiv, seksueel overdraagbare aandoeningen, geestelijke gezondheid en kanker als gevoelige medische informatie vanwege hun substantiële implicaties voor de privacy."

Meer dan 70% van de inbreuken bracht gevoelige demografische of financiële gegevens in gevaar die zouden kunnen leiden tot identiteitsdiefstal of financiële fraude. Meer dan 20 inbreuken brachten gevoelige gezondheidsinformatie in gevaar, die 2 miljoen mensen trof.

"Zonder te begrijpen wat de vijand wil, we kunnen de strijd niet winnen, "Zei Bai. "Door de specifieke informatie te kennen waar hackers naar op zoek zijn, we kunnen onze inspanningen opvoeren om patiëntinformatie te beschermen."

Met een hernieuwd begrip van welke expliciete gegevens zijn gelekt - en hoeveel er in de afgelopen tien jaar zijn getroffen - bieden de onderzoekers ziekenhuizen en zorgverleners suggesties over hoe de gevoelige informatie van patiënten beter kan worden beschermd.

De onderzoekers suggereren dat het ministerie van Volksgezondheid en andere regelgevers formeel de soorten informatie verzamelen die zijn aangetast bij een datalek om het publiek te helpen de mogelijke schade te beoordelen. Ziekenhuizen en andere zorgverleners, Jiang zei, kunnen de risico's van datalekken effectief verminderen door zich te concentreren op het beveiligen van informatie als ze over beperkte middelen beschikken. Bijvoorbeeld, afzonderlijke systemen implementeren om gevoelige demografische en financiële informatie op te slaan en te communiceren.

Jiang merkte op dat het ministerie van Volksgezondheid en Human Services en het Congres onlangs regels hebben voorgesteld die het delen van gegevens aanmoedigen, wat het risico op inbreuken vergroot. Hij zei dat hij en Bai van plan zijn om met wetgevers en industrieën samen te werken door praktische begeleiding en advies te geven op basis van hun academische bevindingen.