Szerző: Dojcsák Dániel

2012. december 28. 11:26

Veszélyben lehetnek az egészségügyi adatok a weben

Egyre többen és egyre több adatunkat töltjük fel online szolgáltatásokba. Nem kivétel ez alól az egészségügy, sport és fitnesz területe sem. A probléma viszont az, hogy az egészségügyi adatok sokkal érzékenyebbek, mint egy feltöltött fotó vagy egy manuális bejelentkezés, a szolgáltatások viszont kevésbé védettek.

A csatlakoztatott eszközök világában már teljesen természetes, hogy a sporttevékenységek közben keletkezett adatok is egy webes felületen landoljanak, de egy krónikus beteg sem hezitálna sokat, ha az okostelefonján tudná rögzíteni és visszanézni az egészségügyi információit. Az e-health, illetve az azzal összeolvadó m-health gyakorlatilag egy iparággá növi ki magát ezekben az években, de a Washington Postban megjelent elemzésben megszólaló szakértők arra figyelmeztetnek, hogy az előnyök mellett érdemes odafigyelni a biztonsági kockázatokra is.

Ott szúr, ahol fáj

Az adatbiztonsággal foglalkozók tudják, hogy ha valaki számítógépes rendszereken keresztül akar kárt okozni, akkor a legkönnyebb utat keresi, illetve azt, amin keresztül a legérzékenyebb pontokon okozhat kárt. Ebből a szempontból az egészségügy egy kiváló célpont, ugyanis az adatok védelme messze elmarad még az átlagos webes tárolókétól is, holott a személyek egészségéhez köthető bejegyzések sokkal több betörési kísérletre számíthatnak, mint mondjuk a digitális tévészolgáltatásunk. A csatlakoztatott eszközök sokaksága és sokszínűsége ráadásul sokkal sérülékenyebbé teszik az egészségügyi szolgáltaltatásokat.

Avin Rubin, a Johns Hopkins Egyetem információs biztonság intézetének műszaki igazgatója sosem látott még olyan iparágat, ahol ennyire hanyagul kezelnék az adatokat. A Washington Postnak kifejtette, hogy “ha a pénzügyi iparág úgy kezelné a biztonságot, mint az egészségügy, akkor inkább tartanám a pénzem matracban, mint a bankoknál”.

Az egyetlen szerencse, hogy jelenleg az egészségügyi adatok nagyon kevés támadás célpontjai a katonai és pénzügyi adatokhoz képest, azonban a trend változik. Májusban az amerikai Belbiztonsági Minisztérium már adott ki riasztást, miszerint a vezetéknélküli technológiák terjedése, ami rugalmasságot és hatékonyságot biztosít az egészségügyi piacon, egyúttal olyan biztonsági kockázatokat hoz létre, amire az iparág nincs felkészülve.

Most még csak a hivatásosok figyelmetlenek

A problémák nem csak a felhasználók önkéntesen feltöltött adatait érintik, sőt, a legnagyobb probléma a hivatalos szolgáltatások körül van. A kórházakban az orvosok ugyanazokat az eszközöket használják személyes internetezésre, amiken keresztül külön biztonsági protokollok nélkül elérhetőek a páciensek adatai is. Az USA-ban olyan esetek is előfordultak, hogy egy kórház orvosai megosztott dokumentumban véletlenül küldtek tovább Dropbox bejelentkezési adatokat, olyan mappához hozzáférést engedve, amiben a rezidensek szakmai anyagokat tároltak.

Az amerikai Government Health IT kutatási jelentése szerint jelenleg a top 10 betörési típus közül 6 ellopott, de nem titkosított hardverhez kötődik, három pedig olyan esetet ír le, amikor az egészségügyi dolgozók vagy korábbi dolgozók nem megfelelő módon tárolták vagy továbbították a betegadatokat. Az e-mailben való továbbküldés például a lehető legprimitívebb megoldás, bár ezek csak kisstílű támadók számára engednek hozzáférést, komoly adatbázis betörések nem így történnek.

Ilyen egy rendkívül kompakt és rugalmas ipari PC (x)

Új ultra kompakt taggal bővült a Beckhoff ipari PC-kből álló termékcsaládja.

Ilyen egy rendkívül kompakt és rugalmas ipari PC (x) Új ultra kompakt taggal bővült a Beckhoff ipari PC-kből álló termékcsaládja.

A forradalom azonban csak most kezdődik, s egyre több betegadat már eredendően egy online rendszerben van, ott továbbítódik, így növekszik a jogosulatlan hozzáférésből eredő problémák előfordulásának esélye, illetve az univerzális adatbázisokkal kinyílik a nagyobb volumenű támadások előtt is az ajtó. Ahogyan a webshopok terjedésével mindennapos lett a tömeges bankkártyaszám-lopás, úgy az egészségügyi adatokhoz való illetéktelen hozzáférés, rosszabb esetben azok tömeges törlése, módosítása is gyakorivá válhat. A motiváció itt nyilván nem a rövidtávú haszonszerzés.

e-cloud

Az Egyesült Államokban és az EU-ban egyaránt egyre nagyobb figyelmet kap az elektronikus egészségügy, a most alakuló iparág résztvevőinek előre kell gondolkodnia abban, hogy rendszereik megfelelően biztonságosak, jövőállóak és a kormányzati igényeknek is megfelelőek legyenek. Az amerikai hatóságok a piac edukációját szükségesnek tartják, illetve támogatnak minden olyan befektetést és fejlesztést, ami a terület működőképességét javítja.

Ha valaki kételkedne abban, hogy ez a terület fontos, akkor gondolja át, hogy az Egyesült Államokban, ahol nem működik ingyenes társadalombiztosítás, mekkora jelentősége lehet annak, ha valakinek az egészségbiztosítási személyazonosságát "ellopják". Az USA-ban az életmentő beavatkozásokon kívül semmit nem tesznek a betegekkel, amíg a biztosítási státusa nem tisztázott. Valószínűleg a következő években sokan szembesülnek majd azzal, hogy valaki az ő kontójukra gyógyult meg több tízezer vagy százezer dollár értékben.

a címlapról