Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Veszélyben lehetnek az egészségügyi adatok a weben

Dojcsák Dániel, 2012. december 28. 11:26
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egyre többen és egyre több adatunkat töltjük fel online szolgáltatásokba. Nem kivétel ez alól az egészségügy, sport és fitnesz területe sem. A probléma viszont az, hogy az egészségügyi adatok sokkal érzékenyebbek, mint egy feltöltött fotó vagy egy manuális bejelentkezés, a szolgáltatások viszont kevésbé védettek.

hirdetés

A csatlakoztatott eszközök világában már teljesen természetes, hogy a sporttevékenységek közben keletkezett adatok is egy webes felületen landoljanak, de egy krónikus beteg sem hezitálna sokat, ha az okostelefonján tudná rögzíteni és visszanézni az egészségügyi információit. Az e-health, illetve az azzal összeolvadó m-health gyakorlatilag egy iparággá növi ki magát ezekben az években, de a Washington Postban megjelent elemzésben megszólaló szakértők arra figyelmeztetnek, hogy az előnyök mellett érdemes odafigyelni a biztonsági kockázatokra is.

Ott szúr, ahol fáj

Az adatbiztonsággal foglalkozók tudják, hogy ha valaki számítógépes rendszereken keresztül akar kárt okozni, akkor a legkönnyebb utat keresi, illetve azt, amin keresztül a legérzékenyebb pontokon okozhat kárt. Ebből a szempontból az egészségügy egy kiváló célpont, ugyanis az adatok védelme messze elmarad még az átlagos webes tárolókétól is, holott a személyek egészségéhez köthető bejegyzések sokkal több betörési kísérletre számíthatnak, mint mondjuk a digitális tévészolgáltatásunk. A csatlakoztatott eszközök sokaksága és sokszínűsége ráadásul sokkal sérülékenyebbé teszik az egészségügyi szolgáltaltatásokat.

Avin Rubin, a Johns Hopkins Egyetem információs biztonság intézetének műszaki igazgatója sosem látott még olyan iparágat, ahol ennyire hanyagul kezelnék az adatokat. A Washington Postnak kifejtette, hogy “ha a pénzügyi iparág úgy kezelné a biztonságot, mint az egészségügy, akkor inkább tartanám a pénzem matracban, mint a bankoknál”.

Az egyetlen szerencse, hogy jelenleg az egészségügyi adatok nagyon kevés támadás célpontjai a katonai és pénzügyi adatokhoz képest, azonban a trend változik. Májusban az amerikai Belbiztonsági Minisztérium már adott ki riasztást, miszerint a vezetéknélküli technológiák terjedése, ami rugalmasságot és hatékonyságot biztosít az egészségügyi piacon, egyúttal olyan biztonsági kockázatokat hoz létre, amire az iparág nincs felkészülve.

Most még csak a hivatásosok figyelmetlenek

A problémák nem csak a felhasználók önkéntesen feltöltött adatait érintik, sőt, a legnagyobb probléma a hivatalos szolgáltatások körül van. A kórházakban az orvosok ugyanazokat az eszközöket használják személyes internetezésre, amiken keresztül külön biztonsági protokollok nélkül elérhetőek a páciensek adatai is. Az USA-ban olyan esetek is előfordultak, hogy egy kórház orvosai megosztott dokumentumban véletlenül küldtek tovább Dropbox bejelentkezési adatokat, olyan mappához hozzáférést engedve, amiben a rezidensek szakmai anyagokat tároltak.

Az amerikai Government Health IT kutatási jelentése szerint jelenleg a top 10 betörési típus közül 6 ellopott, de nem titkosított hardverhez kötődik, három pedig olyan esetet ír le, amikor az egészségügyi dolgozók vagy korábbi dolgozók nem megfelelő módon tárolták vagy továbbították a betegadatokat. Az e-mailben való továbbküldés például a lehető legprimitívebb megoldás, bár ezek csak kisstílű támadók számára engednek hozzáférést, komoly adatbázis betörések nem így történnek.

A forradalom azonban csak most kezdődik, s egyre több betegadat már eredendően egy online rendszerben van, ott továbbítódik, így növekszik a jogosulatlan hozzáférésből eredő problémák előfordulásának esélye, illetve az univerzális adatbázisokkal kinyílik a nagyobb volumenű támadások előtt is az ajtó. Ahogyan a webshopok terjedésével mindennapos lett a tömeges bankkártyaszám-lopás, úgy az egészségügyi adatokhoz való illetéktelen hozzáférés, rosszabb esetben azok tömeges törlése, módosítása is gyakorivá válhat. A motiváció itt nyilván nem a rövidtávú haszonszerzés.

e-cloud

Az Egyesült Államokban és az EU-ban egyaránt egyre nagyobb figyelmet kap az elektronikus egészségügy, a most alakuló iparág résztvevőinek előre kell gondolkodnia abban, hogy rendszereik megfelelően biztonságosak, jövőállóak és a kormányzati igényeknek is megfelelőek legyenek. Az amerikai hatóságok a piac edukációját szükségesnek tartják, illetve támogatnak minden olyan befektetést és fejlesztést, ami a terület működőképességét javítja.

Ha valaki kételkedne abban, hogy ez a terület fontos, akkor gondolja át, hogy az Egyesült Államokban, ahol nem működik ingyenes társadalombiztosítás, mekkora jelentősége lehet annak, ha valakinek az egészségbiztosítási személyazonosságát "ellopják". Az USA-ban az életmentő beavatkozásokon kívül semmit nem tesznek a betegekkel, amíg a biztosítási státusa nem tisztázott. Valószínűleg a következő években sokan szembesülnek majd azzal, hogy valaki az ő kontójukra gyógyult meg több tízezer vagy százezer dollár értékben.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!