Hakerski napad na UK Biobank: Podaci 500.000 volontera na prodaju

Hakerski napad na UK Biobank izložio osobne podatke 500.000 volontera

Hakerski napad na UK Biobank oštro je istaknuo ranjivost centraliziranih zdravstvenih baza podataka. Ministar tehnologije Ian Murray potvrdio je da su osobni podaci 500.000 volontera iz UK Biobanka, jednog od najznačajnijih repozitorija zdravstvenih istraživanja u zemlji, ukradeni i potom ponuđeni na prodaju na Alibabininim platformama za e-trgovinu u Kini. Dobrotvorna organizacija UK Biobank prijavila je incident Uredu informacijskog povjerenika (ICO) radi potpune istrage.

Iako su dužnosnici izjavili da ukradeni podaci nisu uključivali imena ni izravne kontaktne podatke, sadržavali su osjetljive podatke o sudjelovanju. Ta razlika je važna, ali ne čini povredu beznačajnom. Podaci o sudjelovanju vezani uz zdravlje, čak i bez priloženih imena, mogu imati stvaran potencijal za identifikaciju i profiliranje, posebno kada se kombiniraju s drugim skupovima podataka.

Kakva vrsta podataka je bila uključena

UK Biobank je velika biomedicinska istraživačka baza podataka koja prikuplja genetske, životne i zdravstvene informacije od volontera diljem Ujedinjenog Kraljevstva. Njezina je svrha podupirati dugoročna istraživanja ozbiljnih bolesti. Sudionici godinama doprinose detaljnim biološkim i ponašajnim informacijama, čineći bazu podataka iznimno bogatom osjetljivim materijalom.

Dužnosnici su pažljivo napomenuli da kompromitovani podaci nisu uključivali imena ni kontaktne podatke. Međutim, "podaci o sudjelovanju" u ovom kontekstu vjerojatno se odnose na zapise koji bi mogli ukazivati na nečije sudjelovanje u određenim zdravstvenim studijama ili kategorijama istraživanja. Ovisno o granularnosti tih podataka, potencijalno bi mogli otkriti zdravstvene uvjete, životne čimbenike ili medicinsku povijest za koje volonteri razumno očekuju da ostanu privatni.

Činjenica da su ovi podaci bili na prodaju na komercijalnoj platformi u Kini izaziva dodatne zabrinutosti o tome koliko daleko su već mogli biti distribuirani, i tko ih je možda kupio ili kopirao prije nego što je povreda identificirana.

Zašto centralizirane zdravstvene baze podataka nose jedinstvene rizike

Hakerski napad na UK Biobank podsjetnik je na jednu od temeljnih napetosti u suvremenom zdravstvenom istraživanju: što sveobuhvatnija i centraliziranija zdravstvena baza podataka postaje, to je vrednija za istraživače, a privlačnija za zlonamjerne aktere.

Veliki centralizirani repozitoriji stvaraju ono što stručnjaci za sigurnost često nazivaju efektom "lovišta". Jedna jedina povreda može odjednom izložiti zapise stotina tisuća ljudi, za razliku od manjih izloženosti koje dolaze iz distribuiranijeg pohrane podataka. To nije argument protiv medicinskih istraživačkih baza podataka, koje služe istinskom javnom dobru. Međutim, jest argument za tretiranje sigurnosti takvih sustava kao prioriteta kritične infrastrukture, a ne kao naknadne misli.

Postoje i regulatorna pitanja vrijedna razmatranja. Istraga ICO-a vjerojatno će ispitati kako je došlo do povrede, koje su sigurnosne mjere bile na snazi i je li organizacija ispunila svoje obveze prema britanskom zakonu o zaštiti podataka. Ishod te istrage bit će važan ne samo za UK Biobank, već i kao signal drugim organizacijama koje rukuju osjetljivim zdravstvenim podacima u velikom obimu.

Što to znači za vas

Ako ste volonter UK Biobanka, trenutni savjet je pratiti sve komunikacije organizacije i slijediti smjernice koje pruža istraga ICO-a kako se razvija. Budući da se navodi da ukradeni podaci nisu uključivali imena i kontaktne podatke, rizik izravnog ciljanog krađe identiteta ili prijevare možda je niži nego u nekim drugim povredama. Ipak, uvijek vrijedi pregledati svoju širu digitalnu higijenu nakon bilo kojeg incidenta koji uključuje vaše osobne podatke.

Šire gledano, ova povreda potiče svakoga da pažljivo razmisli o podacima koje dijele s istraživačkim i zdravstvenim organizacijama — ne kako bi se obeshrabrilo sudjelovanje u vrijednim studijama, već da bi se postavljala informirana pitanja o tome kako se ti podaci pohranjuju, osiguravaju i dijele.

Postoje i praktični koraci koje svaki korisnik može poduzeti kako bi smanjio svoju opću izloženost privatnosti pri korištenju zdravstvenih usluga na internetu. Korištenje VPN-a pri pregledavanju medicinskog ili zdravstvenog sadržaja može pomoći u sprječavanju bilježenja vaših aktivnosti od strane trećih strana ili njihovog povezivanja s vašim identitetom. Selektivnost prema aplikacijama i platformama kojima odobravate pristup zdravstvenim podacima, pregled postavki privatnosti na nosivim uređajima i zdravstvenim aplikacijama te korištenje jakih jedinstvenih lozinki na svim računima povezanim s medicinskim evidencijama — sve su to razumne osnovne mjere opreza.

Ključne poruke

• Hakerski napad na UK Biobank zahvatio je 500.000 volontera, a ukradeni podaci bili su na prodaju na platformama u Kini.
• Vlasti navode da imena i kontaktni podaci nisu bili uključeni, ali su kompromitovani osjetljivi podaci o sudjelovanju.
• Incident je prijavljen ICO-u radi potpune istrage.
• Centralizirane zdravstvene baze podataka predstavljaju atraktivne mete; sigurnosni standardi za takve repozitorije zaslužuju stalnu provjeru.
• Volonteri i šira javnost trebali bi pregledati svoje navike digitalne privatnosti, posebno u pogledu zdravstvenih podataka i računa.

Hakerski napad na UK Biobank nije izolirani događaj. Uklapa se u obrazac u kojem podaci visoke vrijednosti iz zdravstvenih istraživanja postaju meta krađe i preprodaje. Kako se istraga ICO-a bude razvijala, vrijedi je pomno pratiti radi uvida u to što nalazi otkrivaju o sustavnim ranjivostima i koje promjene, ako ih bude, budu propisane kao rezultat. U međuvremenu, ozbiljno shvaćanje privatnosti osobnih podataka ostaje jedna od najučinkovitijih stvari koje pojedinci mogu učiniti.