Tous 1, 461 violations impliquaient au moins une information démographique. Crédit :John Jiang, Gé Baï
Quand les hôpitaux sont piratés, le public entend parler du nombre de victimes, mais pas des informations volées par les cybercriminels. Une nouvelle recherche de l'Université d'État du Michigan et de l'Université Johns Hopkins est la première à découvrir les données spécifiques divulguées par les brèches dans les hôpitaux, sonner l'alarme pour près de 170 millions de personnes.
« La principale histoire que nous avons entendue des victimes était à quel point elles étaient compromises, des informations sensibles ont causé une perte financière ou de réputation, " a déclaré John (Xuefeng) Jiang, auteur principal et professeur MSU de comptabilité et de systèmes d'information. "Un criminel peut déposer une déclaration de revenus frauduleuse ou demander une carte de crédit en utilisant le numéro de sécurité sociale et les dates de naissance divulgués à la suite d'une violation des données d'un hôpital."
Jusqu'à maintenant, les chercheurs n'ont pas été en mesure de classer le type ou la quantité d'informations de santé publique divulguées par le biais de violations ; Donc, ne jamais obtenir une image précise de l'ampleur ou des conséquences.
Les résultats, Publié dans Annales de médecine interne , englober 1, 461 violations qui se sont produites entre octobre 2009 et juillet 2019.
Jiang et co-auteur Ge Bai, professeur agrégé de comptabilité à la Johns Hopkins Carey Business School et à la Bloomberg School of Public Health, découvert que 169 millions de personnes ont eu une forme d'information exposée à cause de pirates informatiques.
Pour découvrir quelles informations spécifiques ont été exposées, les chercheurs ont classé les données en trois catégories :démographiques, comme des noms, adresses e-mail et autres identifiants personnels ; services ou informations financières, qui comprenait la date de service, montant facturé, Informations de paiement; et informations médicales, tels que des diagnostics ou des traitements.
« Nous avons en outre classé les numéros de sécurité sociale et de permis de conduire et les dates de naissance comme des informations démographiques sensibles, et les cartes de paiement et les comptes bancaires en tant qu'informations financières sensibles. Les deux types peuvent être exploités pour le vol d'identité ou la fraude financière, " Jiang a dit. " Dans les informations médicales, nous avons classé les informations liées à la toxicomanie, VIH, maladies sexuellement transmissibles, la santé mentale et le cancer en tant qu'informations médicales sensibles en raison de leurs implications substantielles pour la vie privée. »
Plus de 70 % des violations ont compromis des données démographiques ou financières sensibles qui pourraient conduire à un vol d'identité ou à une fraude financière. Plus de 20 violations ont compromis des informations de santé sensibles, qui a touché 2 millions de personnes.
"Sans comprendre ce que veut l'ennemi, nous ne pouvons pas gagner la bataille, " Bai dit. " En connaissant les informations spécifiques que les pirates recherchent, nous pouvons intensifier nos efforts pour protéger les informations des patients."
Avec une nouvelle compréhension des données explicites qui ont été divulguées - et combien au cours de la dernière décennie ont été affectées - les chercheurs proposent aux hôpitaux et aux prestataires de soins de santé des suggestions sur la façon de mieux protéger les informations sensibles des patients.
Les chercheurs suggèrent que le ministère de la Santé et d'autres organismes de réglementation collectent officiellement les types d'informations compromis lors d'une violation de données pour aider le public à évaluer les dommages potentiels. Hôpitaux et autres prestataires de soins de santé, Jiang a dit, pourraient réduire efficacement les risques de violation de données en se concentrant sur la sécurisation des informations si leurs ressources sont limitées. Par exemple, mettre en œuvre des systèmes distincts pour stocker et communiquer des informations démographiques et financières sensibles.
Jiang a noté que le ministère de la Santé et des Services sociaux et le Congrès ont récemment proposé des règles qui encouragent plus de partage de données, ce qui augmente les risques d'infractions. Il a déclaré que lui et Bai prévoyaient de travailler avec les législateurs et les industries en fournissant des conseils et des conseils pratiques en utilisant leurs conclusions académiques.