UK Biobankin hakkerointi paljastaa 500 000 vapaaehtoisen henkilötiedot

UK Biobankin hakkerointi on tuonut keskitettyjen terveydenhuollon tietokantojen haavoittuvuuden terävään valokeilaan. Teknologiaministeri Ian Murray vahvisti, että UK Biobankin – yhden maan merkittävimmistä terveystutkimuksen tietovarastoista – 500 000 vapaaehtoisen henkilötiedot varastettiin ja tarjottiin myöhemmin myyntiin Alibaban verkkokauppa-alustoilla Kiinassa. UK Biobank -hyväntekeväisyysjärjestö on ilmoittanut tapauksesta tietosuojaviranomaiselle (ICO) täydellisen tutkinnan käynnistämiseksi.

Vaikka viranomaiset ovat ilmoittaneet, että varastetut tiedot eivät sisältäneet nimiä tai suoria yhteystietoja, ne sisälsivät arkaluonteisia osallistumistietoja. Tällä erottelulla on merkitystä, mutta se ei tee tietomurrosta merkityksetöntä. Terveyteen liittyvillä osallistumistiedoilla on tunnistamis- ja profilointimahdollisuuksia myös ilman nimiä, erityisesti yhdistettynä muihin tietoaineistoihin.

Millaisia tietoja oli mukana

UK Biobank on laajamittainen biolääketieteellinen tutkimustietokanta, joka kerää geneettistä, elämäntapa- ja terveystietoa vapaaehtoisilta ympäri Yhdistynyttä kuningaskuntaa. Sen tarkoituksena on tukea pitkäaikaista tutkimusta vakavista sairauksista. Osallistujat luovuttavat yksityiskohtaisia biologisia ja käyttäytymistietoja vuosien ajan, mikä tekee tietokannasta poikkeuksellisen rikkaan arkaluonteisen aineiston lähteen.

Viranomaiset ovat korostaneet, että vaarantuneisiin tietoihin ei sisältynyt nimiä tai yhteystietoja. "Osallistumistiedot" viittaavat tässä yhteydessä todennäköisesti tietueisiin, jotka voivat viitata henkilön osallistumiseen tiettyihin terveystutkimuksiin tai tutkimuskategorioihin. Tietojen tarkkuudesta riippuen ne voisivat mahdollisesti paljastaa terveydentiloja, elämäntapatekijöitä tai sairauskertomuksia, joiden vapaaehtoinen kohtuudella odottaisi pysyvän yksityisinä.

Se, että nämä tiedot ilmestyivät myyntiin kaupalliselle alustalle Kiinassa, herättää lisähuolia siitä, kuinka laajalle ne ovat jo mahdollisesti levinneet ja kuka on saattanut ostaa tai kopioida ne ennen kuin tietomurto havaittiin.

Miksi keskitetyt terveydenhuollon tietokannat ovat erityisen riskialttiita

UK Biobankin hakkerointi muistuttaa yhdestä modernin terveystutkimuksen perustavanlaatuisista jännitteistä: mitä kattavammaksi ja keskitetyksi terveydenhuollon tietokanta muodostuu, sitä arvokkaampi se on tutkijoille – ja sitä houkuttelevampi se on pahantahtoisille toimijoille.

Suuret keskitetyt tietovarastot luovat tietoturva-ammattilaisten usein käyttämän "hunajapurkin" ilmiön. Yksittäinen tietomurto voi paljastaa satojen tuhansien ihmisten tietueet kerralla, toisin kuin hajautetummasta tiedon tallennuksesta aiheutuvat pienemmän mittakaavan altistukset. Tämä ei ole argumentti lääketieteellisiä tutkimustietokantoja vastaan, jotka palvelevat aitoa yhteistä hyvää. Se on kuitenkin argumentti sen puolesta, että tällaisten järjestelmien turvallisuus tulisi käsitellä kriittisen infrastruktuurin prioriteettina eikä jälkikäteen harkittavana asiana.

Myös sääntelyyn liittyy tutkimisen arvoisia kysymyksiä. ICO:n tutkimus tarkastelee todennäköisesti sitä, miten tietomurto tapahtui, millaisia turvatoimia oli käytössä ja täyttikö organisaatio Yhdistyneen kuningaskunnan tietosuojalain mukaiset velvoitteensa. Tutkinnan tulos on merkittävä paitsi UK Biobankin, myös muiden arkaluonteisia terveystietoja laajamittaisesti käsittelevien organisaatioiden kannalta.

Mitä tämä tarkoittaa sinulle

Jos olet UK Biobankin vapaaehtoinen, välitön neuvo on seurata organisaation viestintää ja noudattaa ICO:n tutkinnan edetessä annettuja ohjeita. Koska varastettujen tietojen on raportoitu jättäneen nimet ja yhteystiedot ulkopuolelle, kohdennetun tietojenkalastelun tai identiteettivarkauden riski voi olla pienempi kuin joissakin muissa tietomurroissa. On kuitenkin aina viisasta tarkistaa yleinen digitaalinen hygieniasi, kun henkilötietojasi on ollut osallisena missä tahansa tapauksessa.

Laajemmin ajateltuna tämä tietomurto kannustaa kaikkia harkitsemaan tarkkaan, mitä tietoja he jakavat tutkimus- ja terveysorganisaatioille – ei siksi, että arvokkaisiin tutkimuksiin osallistuminen lannistuisi, vaan jotta osattaisiin esittää tietoon perustuvia kysymyksiä siitä, miten tietoja säilytetään, suojataan ja jaetaan.

On myös käytännön toimia, joita kuka tahansa voi toteuttaa vähentääkseen yleistä yksityisyysriskiään käyttäessään terveyspalveluja verkossa. VPN:n käyttäminen selattaessa lääketieteellistä tai terveyteen liittyvää sisältöä voi auttaa estämään toimintasi kirjautumisen kolmansien osapuolten toimesta tai sen yhdistämisen henkilöllisyyteesi. Harkitsevuus siinä, mitkä sovellukset ja alustat saavat pääsyn terveystietoihin, tietosuoja-asetusten tarkistaminen puettavissa laitteissa ja terveyssovelluksissa sekä vahvojen yksilöllisten salasanojen käyttäminen kaikissa lääketieteellisiin tietoihin linkitetyissä tileissä ovat kaikki järkeviä perusvarotoimia.

Keskeiset johtopäätökset

  • UK Biobankin hakkerointi vaikutti 500 000 vapaaehtoiseen, ja varastetut tiedot listattiin myyntiin alustoille Kiinassa.
  • Viranomaisten mukaan nimiä ja yhteystietoja ei sisällytetty, mutta arkaluonteiset osallistumistiedot vaarantuivat.
  • Tapaus on ilmoitettu ICO:lle täydellisen tutkinnan käynnistämiseksi.
  • Keskitetyt terveydenhuollon tietokannat ovat houkuttelevia kohteita; tällaisten tietovarastojen tietoturvastandardit ansaitsevat jatkuvaa tarkastelua.
  • Vapaaehtoisten ja suuren yleisön tulisi tarkistaa digitaaliset yksityisyystottumuksensa, erityisesti terveyteen liittyvien tietojen ja tilien osalta.

UK Biobankin hakkerointi ei ole yksittäinen tapahtuma. Se sopii malliin, jossa arvokkaat terveys- ja tutkimustiedot ovat joutuneet varkauden ja jälleenmyynnin kohteeksi. ICO:n tutkinnan edetessä kannattaa seurata tarkasti, mitä löydökset paljastavat systeemisistä haavoittuvuuksista ja mitä muutoksia mahdollisesti vaaditaan. Sillä välin henkilötietojen yksityisyyden ottaminen vakavasti on edelleen yksi tehokkaimmista asioista, joita yksilöt voivat tehdä.