اختراق بنك المملكة المتحدة للبيانات الحيوية يكشف البيانات الشخصية لـ 500,000 متطوع
سلّط اختراق بنك المملكة المتحدة للبيانات الحيوية الضوءَ بحدة على هشاشة قواعد البيانات الصحية المركزية. وأكد وزير التكنولوجيا إيان موراي أن البيانات الشخصية لـ 500,000 متطوع من بنك المملكة المتحدة للبيانات الحيوية، أحد أبرز مستودعات الأبحاث الصحية في البلاد، قد سُرقت وعُرضت للبيع لاحقاً على منصات التجارة الإلكترونية التابعة لشركة علي بابا في الصين. وقد أحالت مؤسسة بنك المملكة المتحدة للبيانات الحيوية الحادثةَ إلى مكتب مفوض المعلومات (ICO) لإجراء تحقيق شامل.
وعلى الرغم من تصريح المسؤولين بأن البيانات المسروقة لم تتضمن أسماء أو تفاصيل اتصال مباشرة، فإنها احتوت على بيانات مشاركة حساسة. هذا التمييز مهم، غير أنه لا يجعل الاختراق بلا عواقب. إذ يمكن لبيانات المشاركة المتعلقة بالصحة، حتى من دون أسماء مرفقة، أن تحمل إمكانية تعريف وتنميط حقيقية، ولا سيما حين تُدمج مع مجموعات بيانات أخرى.
نوع البيانات التي تضمنها الاختراق
بنك المملكة المتحدة للبيانات الحيوية هو قاعدة بيانات طبية حيوية واسعة النطاق تجمع معلومات جينية ومعلومات تتعلق بأنماط الحياة والصحة من متطوعين في أنحاء المملكة المتحدة. والغرض منه دعم الأبحاث طويلة الأمد في الأمراض الخطيرة. يقدّم المشاركون معلومات بيولوجية وسلوكية تفصيلية على مدى سنوات طويلة، مما يجعل قاعدة البيانات غنية بشكل استثنائي بالمواد الحساسة.
وقد حرص المسؤولون على الإشارة إلى أن البيانات المخترقة لم تشمل أسماء أو معلومات اتصال. غير أن "بيانات المشاركة" في هذا السياق تشير على الأرجح إلى سجلات قد تكشف عن انخراط شخص ما في دراسات صحية بعينها أو فئات محددة من الأبحاث. واعتماداً على مستوى تفاصيل تلك البيانات، قد تكشف بصورة محتملة عن حالات صحية أو عوامل تتعلق بأنماط الحياة أو تاريخ طبي كان المتطوعون يتوقعون بحق أن يظل طي الكتمان.
وتثير حقيقة ظهور هذه البيانات معروضةً للبيع على منصة تجارية في الصين مخاوف إضافية حول المدى الذي ربما وصلت إليه، ومن يكون قد اشتراها أو نسخها قبل اكتشاف الاختراق.
لماذا تنطوي قواعد البيانات الصحية المركزية على مخاطر فريدة
يذكّرنا اختراق بنك المملكة المتحدة للبيانات الحيوية بأحد التوترات الجوهرية في أبحاث الصحة الحديثة: كلما أصبحت قاعدة البيانات الصحية أكثر شمولاً ومركزية، ازدادت قيمتها للباحثين، وازداد جاذبيتها للجهات الخبيثة في الوقت ذاته.
تُفرز المستودعات المركزية الكبيرة ما يُسميه متخصصو الأمن في الغالب "تأثير وعاء العسل". إذ يمكن لاختراق واحد أن يكشف سجلات مئات الآلاف من الأشخاص دفعةً واحدة، عوضاً عن الانكشافات الأصغر حجماً الناجمة عن تخزين بيانات أكثر توزيعاً. وهذا ليس حجةً ضد قواعد بيانات الأبحاث الطبية التي تخدم مصلحة عامة حقيقية، بل هو حجة لمعاملة أمن هذه الأنظمة باعتباره أولوية للبنية التحتية الحيوية لا تفكيراً لاحقاً.
ثمة أيضاً تساؤلات تنظيمية جديرة بالفحص. سيتناول تحقيق مكتب مفوض المعلومات على الأرجح كيفية وقوع الاختراق، والتدابير الأمنية المتخذة، ومدى التزام المؤسسة بالتزاماتها بموجب قانون حماية البيانات في المملكة المتحدة. ونتيجة ذلك التحقيق ستكون مهمةً لا لبنك المملكة المتحدة للبيانات الحيوية وحده، بل بوصفها إشارةً للمؤسسات الأخرى التي تتعامل مع بيانات صحية حساسة على نطاق واسع.
ماذا يعني هذا بالنسبة إليك
إن كنت متطوعاً في بنك المملكة المتحدة للبيانات الحيوية، فالنصيحة الفورية هي متابعة أي مراسلات من المؤسسة واتباع التوجيهات التي يُصدرها تحقيق مكتب مفوض المعلومات مع تطوره. وبما أن الأسماء وتفاصيل الاتصال أُفيد بأنها لم تُدرج في البيانات المسروقة، فقد يكون خطر التصيد الاحتيالي المباشر أو الاحتيال على الهوية أدنى مما هو عليه في بعض الاختراقات الأخرى. بيد أنه من المفيد دائماً مراجعة عاداتك الرقمية العامة في أعقاب أي حادثة تطال معلوماتك الشخصية.
على نطاق أوسع، يُعدّ هذا الاختراق دافعاً للجميع للتفكير بعناية في البيانات التي يشاركونها مع مؤسسات الأبحاث والصحة، ليس لثني الناس عن المشاركة في دراسات ذات قيمة، بل لطرح أسئلة مستنيرة حول كيفية تخزين تلك البيانات وتأمينها ومشاركتها.
ثمة أيضاً خطوات عملية يمكن لأي شخص اتخاذها للحد من تعرضه العام لمخاطر الخصوصية عند التعامل مع الخدمات الصحية عبر الإنترنت. فاستخدام شبكة VPN عند تصفح المحتوى الطبي أو الصحي يمكن أن يساعد في منع تتبع نشاطك من قِبل أطراف ثالثة أو ربطه بهويتك. كما يُعدّ الانتقاء في منح التطبيقات والمنصات إمكانية الوصول إلى البيانات الصحية، ومراجعة إعدادات الخصوصية في الأجهزة القابلة للارتداء وتطبيقات الصحة، واستخدام كلمات مرور قوية وفريدة لكل حساب مرتبط بالسجلات الطبية، احتياطات أساسية منطقية.
النقاط الرئيسية
- طال اختراق بنك المملكة المتحدة للبيانات الحيوية 500,000 متطوع، وعُرضت البيانات المسروقة للبيع على منصات في الصين.
- أفادت السلطات بأن الأسماء وتفاصيل الاتصال لم تُدرج، لكن بيانات مشاركة حساسة تعرضت للاختراق.
- أُحيلت الحادثة إلى مكتب مفوض المعلومات لإجراء تحقيق شامل.
- تُمثل قواعد البيانات الصحية المركزية أهدافاً جذابة؛ وتستحق معايير أمنها تدقيقاً مستمراً.
- ينبغي للمتطوعين وعامة الناس مراجعة عادات الخصوصية الرقمية لديهم، لا سيما فيما يخص البيانات والحسابات المتعلقة بالصحة.
لا يُعدّ اختراق بنك المملكة المتحدة للبيانات الحيوية حادثةً معزولة. فهو يندرج ضمن نمط تحوّل فيه البيانات الصحية وبيانات الأبحاث عالية القيمة إلى هدف للسرقة وإعادة البيع. ومع تطور تحقيق مكتب مفوض المعلومات، سيكون من المفيد متابعته عن كثب لمعرفة ما تكشفه النتائج من ثغرات منهجية، وما قد يُفرض من تغييرات نتيجةً لذلك. وفي غضون ذلك، يبقى الجدية في التعامل مع خصوصية البيانات الشخصية من أكثر الأمور فاعلية التي يمكن للأفراد القيام بها.
