Violações de dados de hospitais podem levar ao roubo de identidade, fraude financeira
Os hackers nem sempre visam lojas de varejo e bancos; eles também visam hospitais. Ao fazer isso, eles podem obter uma quantidade significativa de informações extremamente confidenciais.
Uma pesquisa recente identifica quais tipos de informações os hackers roubam durante uma violação de dados hospitalares.
Pesquisadores da Michigan State University (MSU) em East Lansing e da Johns Hopkins University em Baltimore, MD, revelaram quais tipos de vazamento de dados de servidores seguros durante violações de dados hospitalares. Eles publicaram seu estudo no Annals of Internal Medicine.
Esse tipo de violação de dados pode ter consequências graves para as pessoas cujas informações os hackers obtêm, afirma John (Xuefeng) Jiang, autor principal e professor de contabilidade e sistemas de informação da MSU. Ele acrescenta que nem sempre é uma fraude financeira ou roubo de identidade que ocorre como resultado. Também pode levar ao uso indevido de informações médicas confidenciais.
Potencial para fraude, roubo de identidade e muito mais
“A principal história que ouvimos das vítimas foi como informações confidenciais comprometidas causaram perdas financeiras ou de reputação”, diz o Prof. Jiang. “Um criminoso pode apresentar uma declaração de imposto fraudulenta ou solicitar um cartão de crédito usando o número do seguro social e as datas de nascimento que vazaram de uma violação de dados hospitalares.
Esta é a primeira pesquisa que revelou detalhes sobre os tipos e a quantidade de informações de saúde pública obtidas por meio de incidentes de hackers. Os pesquisadores estimam que as 1.461 violações de dados ocorridas ao longo de 10 anos, de 2009 a 2019, impactaram 169 milhões de pessoas.
Para identificar quais dados estavam em risco, os pesquisadores dividiram as informações em uma das três categorias: informações demográficas, que incluem nomes e endereços de e-mail; informações financeiras, incluindo data do serviço, valor de faturamento e informações de pagamento; e informações médicas, que incluem itens como diagnósticos e tratamento.
Os autores do estudo dividiram as informações demográficas ainda mais categorizando os números do seguro social e as datas de nascimento em "informações demográficas confidenciais" e as informações financeiras, que incluíam cartões de pagamento e dados bancários, em "informações financeiras confidenciais".
Essas categorias estão prontas para serem exploradas por aqueles que desejam cometer roubo de identidade ou fraude financeira.
Conhecer o alvo é uma parte fundamental da batalha
Para informações médicas comprometidas, os pesquisadores colocaram diagnósticos específicos e opções de tratamento em uma categoria de “informações médicas confidenciais”. Isso incluía o status do HIV, doenças sexualmente transmissíveis, abuso de substâncias, saúde mental e câncer. Isso tinha o potencial de violações graves de privacidade para as pessoas envolvidas.
Cerca de 70% das violações de dados envolveram informações demográficas ou financeiras confidenciais. Isso significa que o roubo de identidade e a fraude financeira podem ser o objetivo da maioria das pessoas que invadem esse tipo de informação.
No entanto, 20 das violações de dados comprometeram informações médicas confidenciais, que afetaram cerca de 2 milhões de pessoas.
“Sem entender o que o inimigo deseja, não podemos vencer a batalha”, diz Ge Bai, professor associado de contabilidade na Johns Hopkins Carey Business School e na Bloomberg School of Public Health. “Conhecendo as informações específicas que os hackers procuram, podemos intensificar os esforços para proteger as informações dos pacientes”.
Etapas futuras e implicações do estudo
Os envolvidos neste estudo recomendam que os reguladores, como o Departamento de Saúde, façam um esforço para coletar formalmente os tipos de informações que vazam durante uma violação de dados e informar o público.
Eles dizem que isso ajudará os afetados a avaliar os danos potenciais. Além disso, as instituições com recursos limitados podem tomar medidas para limitar a quantidade de informações acessíveis a uma possível violação de dados. Por exemplo, eles podem armazenar informações financeiras e demográficas em diferentes servidores.
Os pesquisadores dizem que outra área de preocupação envolve o Departamento de Saúde e Serviços Humanos e o Congresso. A organização introduziu recentemente novas regras para encorajar mais compartilhamento de dados. De acordo com os pesquisadores, o compartilhamento de dados tem o infeliz efeito colateral de aumentar o risco de violações de dados.
No entanto, já existem planos para o Prof. Jiang e Bai trabalharem com legisladores e organizações para garantir que as informações pessoais sejam o mais seguras possível.
