Хакерска атака срещу UK Biobank: Данните на 500 000 доброволци се продават

Хакерската атака срещу UK Biobank разкрива личните данни на 500 000 доброволци

Хакерската атака срещу UK Biobank постави уязвимостта на централизираните здравни бази данни в остър фокус. Министърът на технологиите Иан Мъри потвърди, че лични данни, принадлежащи на 500 000 доброволци от UK Biobank, едно от най-значимите хранилища за здравни изследвания в страната, са откраднати и впоследствие предложени за продажба на платформите за електронна търговия на Alibaba в Китай. Благотворителната организация UK Biobank е сезирала Службата на комисаря по информацията (ICO) за пълно разследване.

Въпреки че официалните лица заявиха, че откраднатите данни не включват имена или преки данни за контакт, те съдържат чувствителни данни за участие. Това разграничение е важно, но не прави нарушението незначително. Данните, свързани с участието в здравни изследвания, дори без приложени имена, могат да носят реален потенциал за идентификация и профилиране, особено когато се комбинират с други набори от данни.

Какъв вид данни са засегнати

UK Biobank е мащабна биомедицинска изследователска база данни, която събира генетична, поведенческа и здравна информация от доброволци в цяла Великобритания. Целта й е да подпомага дългосрочни изследвания на сериозни заболявания. Участниците предоставят подробна биологична и поведенческа информация в продължение на много години, което прави базата данни изключително богата на чувствителни материали.

Официалните лица са внимателни да отбележат, че компрометираните данни не включват имена или данни за контакт. Въпреки това „данните за участие" в този контекст вероятно се отнасят до записи, които биха могли да покажат нечие участие в конкретни здравни проучвания или категории изследвания. В зависимост от детайлността на тези данни, те потенциално биха могли да разкрият здравословни състояния, начин на живот или медицинска история, за чиято поверителност доброволците основателно биха очаквали да се запази.

Фактът, че тези данни се появиха за продажба на търговска платформа в Китай поражда допълнителни опасения относно това докъде вече са стигнали и кой е могъл да ги закупи или копира, преди нарушението да бъде установено.

Защо централизираните здравни бази данни носят уникални рискове

Хакерската атака срещу UK Biobank е напомняне за едно от основните противоречия в съвременните здравни изследвания: колкото по-изчерпателна и централизирана стане дадена здравна база данни, толкова по-ценна е тя за изследователите и толкова по-привлекателна става за злонамерените участници.

Големите централизирани хранилища създават това, което специалистите по сигурност често наричат ефект на „меден съд". Едно единствено нарушение може да изложи записите на стотици хиляди хора наведнъж, вместо по-малкомащабните разкрития, произтичащи от по-разпределеното съхранение на данни. Това не е аргумент срещу медицинските изследователски бази данни, които служат на истинско обществено благо. Това обаче е аргумент за третиране на сигурността на подобни системи като приоритет на критичната инфраструктура, а не като второстепенен въпрос.

Съществуват и регулаторни въпроси, заслужаващи внимание. Разследването на ICO вероятно ще разгледа как е настъпило нарушението, какви мерки за сигурност са били въведени и дали организацията е изпълнила задълженията си по британското законодателство за защита на данните. Резултатът от това разследване ще има значение не само за UK Biobank, но и като сигнал към другите организации, обработващи чувствителни здравни данни в голям мащаб.

Какво означава това за вас

Ако сте доброволец в UK Biobank, незабавният съвет е да наблюдавате всякакви съобщения от организацията и да следвате указанията, предоставени от разследването на ICO в хода на развитието му. Тъй като се съобщава, че имената и данните за контакт не са включени в откраднатите данни, рискът от директен целенасочен фишинг или кражба на самоличност може да е по-нисък, отколкото при някои други нарушения. Въпреки това винаги си струва да прегледате общата си цифрова хигиена след всеки инцидент, свързан с вашата лична информация.

По-широко погледнато, това нарушение е повод всеки да помисли внимателно за данните, които споделя с изследователски и здравни организации — не за да се обезкуражи участието в ценни проучвания, а за да задава информирани въпроси как тези данни се съхраняват, защитават и споделят.

Съществуват и практически стъпки, които всеки може да предприеме, за да намали общата си уязвимост към нарушения на поверителността при използване на здравни услуги онлайн. Използването на VPN при разглеждане на медицинско или здравно съдържание може да помогне да се предотврати регистрирането на вашата активност от трети страни или свързването й с вашата самоличност. Избирателността относно това на кои приложения и платформи предоставяте достъп до здравни данни, прегледът на настройките за поверителност на носими устройства и здравни приложения, както и използването на силни уникални пароли за всеки акаунт, свързан с медицински записи, са всички разумни базови предпазни мерки.

Основни изводи

• Хакерската атака срещу UK Biobank засегна 500 000 доброволци, а откраднатите данни бяха публикувани за продажба на платформи в Китай.
• Властите съобщават, че имената и данните за контакт не са включени, но чувствителни данни за участие са компрометирани.
• Инцидентът е сезиран до ICO за пълно разследване.
• Централизираните здравни бази данни представляват привлекателни цели; стандартите за сигурност на подобни хранилища заслужават постоянен контрол.
• Доброволците и широката общественост следва да прегледат навиците си за цифрова поверителност, особено по отношение на здравни данни и акаунти.

Хакерската атака срещу UK Biobank не е изолирано събитие. Тя се вписва в модел, при който ценни здравни и изследователски данни се превръщат в цел за кражба и препродажба. Докато разследването на ICO се развива, ще си струва да се следи отблизо какво ще разкрият констатациите относно системните уязвимости и какви промени, ако има такива, ще бъдат наложени в резултат. Междувременно сериозното отношение към поверителността на личните данни остава едно от най-ефективните неща, които хората могат да направят.