การแฮ็ก UK Biobank เปิดเผยข้อมูลส่วนบุคคลของอาสาสมัคร 500,000 คน
การแฮ็ก UK Biobank ได้เผยให้เห็นถึงความเปราะบางของฐานข้อมูลสุขภาพแบบรวมศูนย์อย่างชัดเจน รัฐมนตรีด้านเทคโนโลยี Ian Murray ยืนยันว่าข้อมูลส่วนบุคคลของอาสาสมัคร 500,000 คนจาก UK Biobank ซึ่งเป็นหนึ่งในคลังข้อมูลการวิจัยด้านสุขภาพที่สำคัญที่สุดของประเทศ ถูกขโมยและนำออกเสนอขายบนแพลตฟอร์มอีคอมเมิร์ซของ Alibaba ในประเทศจีน องค์กรการกุศล UK Biobank ได้ส่งเรื่องดังกล่าวให้สำนักงานคณะกรรมการข้อมูลข่าวสาร (ICO) ดำเนินการสอบสวนอย่างเต็มรูปแบบ
แม้เจ้าหน้าที่จะระบุว่าข้อมูลที่ถูกขโมยไม่มีชื่อหรือรายละเอียดการติดต่อโดยตรง แต่มีข้อมูลการเข้าร่วมที่มีความอ่อนไหวรวมอยู่ด้วย ความแตกต่างดังกล่าวมีนัยสำคัญ แต่ก็ไม่ได้ทำให้การละเมิดครั้งนี้ไม่มีผลกระทบแต่อย่างใด ข้อมูลการเข้าร่วมที่เกี่ยวข้องกับสุขภาพ แม้จะไม่มีชื่อแนบมาด้วย ก็ยังมีศักยภาพในการระบุตัวตนและสร้างโปรไฟล์บุคคลได้จริง โดยเฉพาะอย่างยิ่งเมื่อนำไปรวมกับชุดข้อมูลอื่น
ข้อมูลประเภทใดที่เกี่ยวข้อง
UK Biobank คือฐานข้อมูลการวิจัยทางชีวการแพทย์ขนาดใหญ่ที่รวบรวมข้อมูลทางพันธุกรรม วิถีชีวิต และข้อมูลสุขภาพจากอาสาสมัครทั่วสหราชอาณาจักร มีวัตถุประสงค์เพื่อสนับสนุนการวิจัยระยะยาวเกี่ยวกับโรคร้ายแรง ผู้เข้าร่วมมอบข้อมูลทางชีววิทยาและพฤติกรรมโดยละเอียดเป็นเวลาหลายปี ทำให้ฐานข้อมูลนี้อุดมไปด้วยข้อมูลอ่อนไหวเป็นอย่างมาก
เจ้าหน้าที่ระวังที่จะระบุว่าข้อมูลที่ถูกละเมิดไม่มีชื่อหรือข้อมูลการติดต่อรวมอยู่ด้วย อย่างไรก็ตาม "ข้อมูลการเข้าร่วม" ในบริบทนี้น่าจะหมายถึงบันทึกที่อาจบ่งชี้ว่าบุคคลใดบุคคลหนึ่งมีส่วนร่วมในการศึกษาด้านสุขภาพเฉพาะเรื่องหรือประเภทของการวิจัยใด ขึ้นอยู่กับความละเอียดของข้อมูล อาจเปิดเผยภาวะสุขภาพ ปัจจัยด้านวิถีชีวิต หรือประวัติการรักษาที่อาสาสมัครมีเหตุอันควรคาดหวังว่าจะยังคงเป็นความลับ
ข้อเท็จจริงที่ว่าข้อมูลนี้ปรากฏขึ้นเพื่อขายบนแพลตฟอร์มเชิงพาณิชย์ในประเทศจีน ก่อให้เกิดความกังวลเพิ่มเติมว่าข้อมูลดังกล่าวอาจแพร่กระจายไปไกลแค่ไหนแล้ว และใครอาจซื้อหรือคัดลอกข้อมูลดังกล่าวก่อนที่จะระบุการละเมิดได้
เหตุใดฐานข้อมูลสุขภาพแบบรวมศูนย์จึงมีความเสี่ยงเฉพาะตัว
การแฮ็ก UK Biobank เป็นเครื่องเตือนใจถึงความตึงเครียดพื้นฐานประการหนึ่งในการวิจัยด้านสุขภาพสมัยใหม่ ยิ่งฐานข้อมูลสุขภาพมีความครอบคลุมและรวมศูนย์มากเท่าใด ก็ยิ่งมีคุณค่าต่อนักวิจัยมากขึ้นเท่านั้น และยิ่งดึงดูดผู้ไม่หวังดีมากขึ้นเท่านั้น
คลังข้อมูลแบบรวมศูนย์ขนาดใหญ่สร้างสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยมักเรียกว่าเอฟเฟกต์ "honeypot" การละเมิดครั้งเดียวอาจเปิดเผยข้อมูลของผู้คนหลายแสนคนในคราวเดียว แทนที่จะเป็นการเปิดเผยในระดับเล็กที่เกิดจากการจัดเก็บข้อมูลแบบกระจาย นี่ไม่ใช่ข้อโต้แย้งต่อฐานข้อมูลการวิจัยทางการแพทย์ ซึ่งเป็นประโยชน์สาธารณะที่แท้จริง แต่เป็นข้อโต้แย้งสำหรับการปฏิบัติต่อความปลอดภัยของระบบดังกล่าวในฐานะโครงสร้างพื้นฐานที่สำคัญ มิใช่สิ่งที่คิดทีหลัง
ยังมีคำถามด้านกฎระเบียบที่ควรค่าแก่การพิจารณา การสอบสวนของ ICO น่าจะพิจารณาว่าการละเมิดเกิดขึ้นได้อย่างไร มีมาตรการรักษาความปลอดภัยใดบ้างที่ใช้อยู่ และองค์กรปฏิบัติตามพันธกรณีภายใต้กฎหมายคุ้มครองข้อมูลของสหราชอาณาจักรหรือไม่ ผลลัพธ์ของการสอบสวนดังกล่าวจะมีความสำคัญไม่เพียงแต่สำหรับ UK Biobank เท่านั้น แต่ยังเป็นสัญญาณสำหรับองค์กรอื่นๆ ที่จัดการข้อมูลสุขภาพที่อ่อนไหวในระดับใหญ่ด้วย
สิ่งที่ต้องทำ
หากคุณเป็นอาสาสมัครของ UK Biobank คำแนะนำเบื้องต้นคือให้ติดตามการสื่อสารใดๆ จากองค์กรและปฏิบัติตามแนวทางที่ ICO จัดเตรียมไว้ในระหว่างการสอบสวน เนื่องจากมีรายงานว่าชื่อและรายละเอียดการติดต่อไม่ได้รวมอยู่ในข้อมูลที่ถูกขโมย ความเสี่ยงของการตกเป็นเป้าหมายของการฟิชชิงหรือการฉ้อโกงตัวตนโดยตรงอาจต่ำกว่าการละเมิดอื่นๆ บางกรณี อย่างไรก็ตาม ควรทบทวนสุขอนามัยดิจิทัลโดยรวมของคุณเสมอภายหลังเหตุการณ์ใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคุณ
ในวงกว้างยิ่งขึ้น การละเมิดนี้เป็นแรงกระตุ้นให้ทุกคนคิดอย่างรอบคอบเกี่ยวกับข้อมูลที่แบ่งปันกับองค์กรวิจัยและสุขภาพ ไม่ใช่เพื่อห้ามปรามการมีส่วนร่วมในการศึกษาที่มีคุณค่า แต่เพื่อตั้งคำถามอย่างมีข้อมูลว่าข้อมูลดังกล่าวถูกจัดเก็บ รักษาความปลอดภัย และแบ่งปันอย่างไร
ยังมีขั้นตอนเชิงปฏิบัติที่ทุกคนสามารถทำได้เพื่อลดการเปิดเผยความเป็นส่วนตัวโดยทั่วไปเมื่อใช้บริการที่เกี่ยวข้องกับสุขภาพออนไลน์ การใช้ VPN เมื่อท่องเว็บเนื้อหาทางการแพทย์หรือสุขภาพสามารถช่วยป้องกันไม่ให้กิจกรรมของคุณถูกบันทึกโดยบุคคลที่สามหรือเชื่อมโยงกับตัวตนของคุณ การเลือกว่าแอปและแพลตฟอร์มใดที่คุณอนุญาตให้เข้าถึงข้อมูลสุขภาพ การตรวจสอบการตั้งค่าความเป็นส่วนตัวบนอุปกรณ์สวมใส่และแอปสุขภาพ และการใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับบัญชีใดๆ ที่เชื่อมโยงกับเวชระเบียน ล้วนเป็นข้อควรระวังพื้นฐานที่สมเหตุสมผล
สรุปสาระสำคัญ
- การแฮ็ก UK Biobank ส่งผลกระทบต่ออาสาสมัคร 500,000 คน และข้อมูลที่ถูกขโมยถูกนำไปลงประกาศขายบนแพลตฟอร์มในประเทศจีน
- เจ้าหน้าที่รายงานว่าไม่มีชื่อและรายละเอียดการติดต่อรวมอยู่ด้วย แต่ข้อมูลการเข้าร่วมที่มีความอ่อนไหวถูกละเมิด
- เหตุการณ์ดังกล่าวถูกส่งให้ ICO ดำเนินการสอบสวนอย่างเต็มรูปแบบ
- ฐานข้อมูลสุขภาพแบบรวมศูนย์เป็นเป้าหมายที่น่าสนใจ มาตรฐานความปลอดภัยสำหรับคลังข้อมูลดังกล่าวสมควรได้รับการตรวจสอบอย่างต่อเนื่อง
- อาสาสมัครและประชาชนทั่วไปควรทบทวนนิสัยด้านความเป็นส่วนตัวทางดิจิทัล โดยเฉพาะอย่างยิ่งที่เกี่ยวกับข้อมูลและบัญชีที่เกี่ยวข้องกับสุขภาพ
การแฮ็ก UK Biobank ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดดๆ แต่เป็นส่วนหนึ่งของรูปแบบที่ข้อมูลสุขภาพและการวิจัยมูลค่าสูงกลายเป็นเป้าหมายของการขโมยและการนำไปขายต่อ ขณะที่การสอบสวนของ ICO คืบหน้าไป จะคุ้มค่ามากที่จะติดตามอย่างใกล้ชิดว่าผลการค้นพบเผยให้เห็นอะไรเกี่ยวกับช่องโหว่เชิงระบบ และมีการสั่งการให้เปลี่ยนแปลงอะไรบ้างหรือไม่ ในระหว่างนี้ การให้ความสำคัญกับความเป็นส่วนตัวของข้อมูลส่วนบุคคลยังคงเป็นสิ่งที่มีประสิทธิภาพมากที่สุดอย่างหนึ่งที่แต่ละคนสามารถทำได้
