เราทุกคนต่างมีความเข้าใจมากขึ้นในการขโมยข้อมูลประจำตัวทางออนไลน์
ไม่กี่วันผ่านไปโดยไม่ได้ยินว่าธุรกิจใหญ่ๆ ประสบปัญหาจากการละเมิดข้อมูลบางรูปแบบ เราไม่เคยได้ยินเกี่ยวกับความรุนแรงเสมอไป เว้นแต่จะเกี่ยวข้องกับข้อมูลลูกค้าจำนวนมาก ในทำนองเดียวกัน เราปฏิบัติต่อบันทึกการรักษาพยาบาลของเราด้วยความเป็นส่วนตัวที่เท่าเทียมกัน พวกเขามีข้อมูลส่วนบุคคลที่ละเอียดอ่อนซึ่งสามารถนำไปใช้กับเราโดยมิชอบได้
เรารู้และเข้าใจความต้องการความเป็นส่วนตัวเกี่ยวกับเวชระเบียนมานานแล้ว และโชคดีที่แพทย์และพยาบาลของเราสาบานที่จะรักษาความเป็นส่วนตัวนั้น ในโลกที่ขับเคลื่อนด้วยกระดาษในสมัยก่อน การเข้าถึงเวชระเบียนโดยไม่ได้รับอนุญาตจะทำผ่านมือหรืองานภายใน
แต่ตอนนี้ อุตสาหกรรมการแพทย์ทั่วโลกถูกแปลงเป็นดิจิทัล และบันทึกของเราก็เช่นกัน มีข้อได้เปรียบมากมายในการมีเวชระเบียนดิจิทัล แต่การนำข้อมูลส่วนบุคคลของคุณไปเสี่ยงต่อความเสี่ยงนั้นคุ้มค่าหรือไม่
การโจรกรรมข้อมูลประจำตัวทางการแพทย์
ไม่ต้องสงสัยเลยว่าการขโมยข้อมูลประจำตัวทางการแพทย์กำลังเพิ่มขึ้น นักต้มตุ๋นที่แสวงหารายละเอียดการธนาคารและบัญชีออนไลน์แบบเดิมๆ หันมาใช้เวชระเบียนมากขึ้น ทำไม ประการหนึ่ง ข้อมูลเหล่านี้เต็มไปด้วยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสิ่งที่เรารัก นั่นคือ ชีวิตของเรา
เวชระเบียนของคุณถือ ทั้งหมด ข้อมูลส่วนบุคคลของคุณ:ชื่อ ที่อยู่ วันเกิด หมายเลขประกันสังคม (หรือเทียบเท่า) และในบางกรณี ข้อมูลดังกล่าวจะประกอบด้วยข้อมูลสำหรับการเรียกเก็บเงิน และรายละเอียดบัตรเครดิตหรือบัตรเดบิต เห็นได้ชัดว่าบันทึกทางการแพทย์มีค่ามาก – มีค่ามากกว่ารายละเอียดบัญชีธนาคารของคุณ (ก็ขึ้นอยู่กับจำนวนศูนย์ในบัญชีของคุณ!)
ความสะดวกที่แฮ็กเกอร์เข้าถึงเวชระเบียนทำให้พวกเขาเป็นเป้าหมายที่น่าดึงดูดยิ่งขึ้น แม้จะทราบมาก่อนหลายปีแล้วว่าเวชระเบียนจะถูกแปลงเป็นข้อมูลดิจิทัลในบางครั้ง แต่สถานพยาบาลหลายแห่งก็ไม่มีทางพร้อมที่จะรับมือกับภัยคุกคามจากอาชญากรรมทางอินเทอร์เน็ตรอบรู้ ดังนั้นจึงไม่น่าแปลกใจที่เปอร์เซ็นต์ขององค์กรด้านการดูแลสุขภาพของสหรัฐฯ ที่รายงานการโจมตีที่อาจเกิดขึ้นได้เพิ่มขึ้นจาก 20% ในปี 2009 เป็น 40% ในปี 2013 เพียงปี 2015 เพียงปีเดียว เราพบว่ามีการรายงานการละเมิดข้อมูลส่วนบุคคล 108.8 ล้านระเบียนในองค์กรด้านการดูแลสุขภาพ 5 แห่ง แต่ละองค์กรรายงานว่าเซิร์ฟเวอร์เครือข่ายของตนถูกละเมิด:
หมายเหตุ: ตารางด้านบนประกอบด้วยบุคคลที่ได้รับผลกระทบเป็นล้าน
เราคาดหวังอะไรได้บ้าง
นอกเหนือจากปัญหาที่เห็นได้ชัดของประวัติทางการแพทย์ของคุณที่ตกไปอยู่ในมือที่ไม่รู้จักแล้ว ยังมีผีอีกตัวที่มีขนาดใหญ่ ความก้าวหน้าล่าสุดในด้านฮาร์ดแวร์ทางการแพทย์นั้นไม่ใช่เรื่องน่าอัศจรรย์ แต่สิ่งเหล่านี้มาพร้อมกับความแตกต่างที่สำคัญอย่างหนึ่งกับบรรพบุรุษของพวกเขา นั่นคือ สถานะเครือข่าย ขณะนี้อุปกรณ์จำนวนมากเชื่อมต่อกับเครือข่ายของโรงพยาบาล ทำให้แฮกเกอร์มีโอกาสเข้าถึงอุปกรณ์บางอย่างได้โดยตรง
ในรายงานที่น่าตกใจอย่างแท้จริงในหัวข้อ 'Predictions 2016:Cybersecurity Swings To Prevention ' เราเห็นการคาดการณ์ว่าปี 2016 จะเห็นจุดเริ่มต้นของอุปกรณ์ทางการแพทย์ที่ได้รับผลกระทบจากแรนซัมแวร์
ความเสี่ยงมาจากการขาดความรู้พื้นฐานเกี่ยวกับความปลอดภัยของเครือข่าย ในปี 2555 สกอตต์ เออร์เวน หัวหน้าฝ่ายรักษาความปลอดภัยข้อมูลของ Essentia Health (ปัจจุบันคือรองผู้อำนวยการที่ Protoviti) ได้รับมอบหมายให้ประเมินความปลอดภัยสำหรับสถานบริการสุขภาพในแถบมิดเวสต์ขนาดใหญ่ ในบรรดารายการปัญหาที่เกิดขึ้น เป็นที่ชัดเจนว่าสถานพยาบาลยังคงใช้รหัสผ่านเครือข่ายแบบฮาร์ดโค้ด เช่น "ผู้ดูแลระบบ" หรือ "1234" ซึ่งยืนยันรายงานก่อนหน้านี้และ ICS-ALERT-13-164-01 ซึ่งนักวิจัย Billy Rios และ Terry McCorkle ของ Cylance รายงานว่ามีอุปกรณ์ทางการแพทย์ประมาณ 300 เครื่องที่ยังคงใช้รหัสผ่านแบบฮาร์ดโค้ดอยู่
ขั้นตอนการรับรองความถูกต้องพื้นฐานเหล่านี้สร้างปัญหาด้านความปลอดภัยขนาดใหญ่ที่สามารถหลีกเลี่ยงได้ง่าย หรืออย่างน้อยก็ทำให้งานยากขึ้นสำหรับผู้โจมตี อย่างดีที่สุด เราจะเห็นการกรรโชกทางการเงินเพิ่มขึ้น
ที่เลวร้ายที่สุด คนตาย
เมดแจ็ค
TrapX ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ที่หลอกลวง ระบุการโจมตีในวงกว้างต่อสถานพยาบาล โดยมุ่งเป้าไปที่อุปกรณ์ทางการแพทย์ของโรงพยาบาลเป็นส่วนใหญ่ ในโรงพยาบาล 3 แห่งที่แยกจากกัน TrapX พบว่า "อุปกรณ์ทางการแพทย์ที่หลากหลายประนีประนอม ซึ่งรวมถึงอุปกรณ์เอ็กซ์เรย์ ระบบเก็บถาวรรูปภาพและระบบสื่อสาร (PACS) และเครื่องวิเคราะห์ก๊าซในเลือด (BGA)"
อย่างไรก็ตาม นี่ไม่ใช่ขีดจำกัดของเวกเตอร์การโจมตี MEDJACK TrapX เชื่อ (จำเป็นต้องลงทะเบียน):
"มีอุปกรณ์อื่นๆ มากมายที่นำเสนอเป้าหมายสำหรับ MEDJACK ซึ่งรวมถึงอุปกรณ์วินิจฉัย (เครื่องสแกน PET, เครื่องสแกน CT, เครื่อง MRI เป็นต้น) อุปกรณ์บำบัด (ปั๊มฉีด เลเซอร์ทางการแพทย์ และเครื่องผ่าตัดเลสิค) และอุปกรณ์ช่วยชีวิต (หัวใจ) - เครื่องปอด เครื่องช่วยหายใจทางการแพทย์ เครื่องเติมออกซิเจนด้วยเยื่อภายนอกร่างกาย และเครื่องฟอกไต) และอื่นๆ อีกมากมาย"
รายงานยังอธิบายต่อไปว่าอุปกรณ์ทางการแพทย์จำนวนมากที่ถูกใช้เป็นเครื่องมือระบบปิด ระบบปฏิบัติการที่ล้าสมัย เช่น Windows 2000 หรือ Windows XP ระบบปฏิบัติการมักจะได้รับการแก้ไข และเต็มไปด้วยช่องโหว่ด้านความปลอดภัย ทำให้เกิดช่องโหว่ขนาดใหญ่ในเครือข่ายของโรงพยาบาลทุกแห่ง ในกรณีส่วนใหญ่ เจ้าหน้าที่ทางการแพทย์ที่ใช้และปรับใช้อุปกรณ์เหล่านี้จะไม่สามารถเข้าถึงการทำงานภายในได้ ซึ่งหมายความว่าพวกเขาต้องพึ่งพาผู้ผลิตในการติดตั้งล่าสุด และ กำแพงความปลอดภัยที่ยืดหยุ่น – และตอนนี้ยังไม่เกิดขึ้น
ไม่จำกัดเพียงโรงพยาบาลไม่กี่แห่งเช่นกัน ด้วยผู้ผลิตหลายรายที่จัดหาอุปกรณ์จำนวนมากให้กับสถานพยาบาลทั่วโลก จึงเป็นเรื่องยากที่จะระบุได้อย่างแม่นยำว่าช่องโหว่ต่อไปจะเกิดที่ใด
ตัวอย่างเช่น เมื่อ FDA ออกคำแนะนำสำหรับผู้ผลิตในการกระชับการรักษาความปลอดภัยในอุปกรณ์ทางการแพทย์ กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ได้เปิดเผยการสอบสวนอย่างต่อเนื่องใน 24 กรณีที่ต้องสงสัยว่าเป็นข้อบกพร่องด้านความปลอดภัยทางไซเบอร์ รวมถึง "ปั๊มฉีดจาก Hospira Inc. และหัวใจที่ฝังได้ อุปกรณ์จาก Medtronic Inc. และ St Jude Medical Inc."
การสอบสวนของ DHS ดำเนินต่อไป
การขายเวชระเบียน
แม้จะไม่ได้เป็นอันตรายถึงชีวิตเท่ากับเครื่องมือแพทย์ที่ถูกแย่งชิง แต่เวชระเบียนส่วนตัวก็ถูกขายให้กับบริษัทขุดข้อมูลมากขึ้นเรื่อยๆ ซึ่งบางครั้งก็ใช้รหัสไปรษณีย์เพื่อทำให้ข้อมูลมีประโยชน์มากขึ้นและมีค่ามากขึ้น
อย่างไรก็ตาม เมื่อข้อมูลออกจากสถานพยาบาลแล้ว ก็จะเพิ่มโอกาสที่ข้อมูลของคุณจะตกไปอยู่ในมือของคนชั่ว ตั้งแต่ต้นเดือนสิงหาคม 2013 หน่วยงานด้านสุขภาพถึง 11 แห่งได้เริ่มหรืออยู่ระหว่างการทบทวนนโยบายการเก็บรวบรวมข้อมูล ซึ่งรวมถึงกระบวนการขายข้อมูลที่เกิดขึ้น และความรับผิดชอบที่ควรนำมาใช้สำหรับบริษัททำเหมืองข้อมูล
Marc Probst หัวหน้าเจ้าหน้าที่ข้อมูลของ Intermountain Healthcare ในซอลต์เลคซิตี้กล่าวว่า "เหตุผลเดียวที่จะซื้อข้อมูลนั้นก็คือเพื่อที่พวกเขาจะได้เรียกเก็บเงินอย่างฉ้อฉล" เวชระเบียนที่เกี่ยวข้องโดยหวังว่าจะมีคนตื่นตระหนกและจ่ายเงิน การใช้เวชระเบียนที่เป็นการฉ้อโกง (พร้อมกับการลักขโมยเวชระเบียนตั้งแต่แรกพบ การรักษาความปลอดภัยที่หละหลวมที่พบในสิ่งอำนวยความสะดวกจำนวนนับไม่ถ้วน และความพยายามอย่างต่อเนื่องในการจัดหาความปลอดภัยทางไซเบอร์โดยรวมที่ดีขึ้นให้กับอุตสาหกรรมการดูแลสุขภาพทั้งหมด) เป็นหนึ่งในค่าใช้จ่ายจำนวนมากที่ส่งตรงไปยัง พลเมืองอเมริกันผ่านเบี้ยประกันสุขภาพ
คุณหยุดได้ไหม
น่าเสียดาย ในกรณีของเวชระเบียนดิจิทัลที่ผู้ให้บริการด้านสุขภาพถือไว้โดยตรง เราไม่สามารถทำอะไรได้มากเกี่ยวกับเรื่องนี้
ผู้ให้บริการของคุณเก็บข้อมูลของคุณไว้ และแม้ว่าคุณจะขอสำเนา (ซึ่งอาจมีราคาค่อนข้างแพง) ผู้ให้บริการของคุณก็ไม่น่าจะลบบันทึกของคุณโดยไม่ได้ตั้งใจ ใครจะไปรู้ว่าคุณอาจต้องรีบไปที่ห้องฉุกเฉิน เพียงเพื่อจะพบว่าพวกเขาไม่มีข้อมูลทางการแพทย์เกี่ยวกับการแพ้ยาเพนนิซิลลินของคุณ
มาตรการเชิงรุกอย่างหนึ่งคือการตั้งค่าระบบการแจ้งเตือนด้วย DataLossDB.org ซึ่งเป็นเว็บไซต์ที่รวบรวมรายละเอียดการละเมิดข้อมูลให้ได้มากที่สุด กลยุทธ์การบรรเทาผลกระทบอื่นอาจรวมถึงการตรวจสอบรายงานเครดิตของคุณ – แต่โดยปกติแล้วจะมีค่าธรรมเนียมรายเดือน อย่างไรก็ตาม คุณจะสังเกตได้อย่างแน่นอนว่าเรตติ้งของคุณดูแย่ และอาจจับได้ก่อนที่จะแก้ไขไม่ได้ หากคุณสังเกตเห็นสิ่งเลวร้ายเป็นพิเศษและทันเวลา คุณสามารถออกการแจ้งเตือนการฉ้อโกง บล็อกคำขอเครดิตใหม่หรือเปิดบัญชีในชื่อของคุณเป็นเวลา 90 วัน
เป็นเรื่องยากที่จะรักษาความปลอดภัยของเวชระเบียนในเชิงรุกเช่นเดียวกับรายละเอียดธนาคาร แต่นั่นไม่ได้หมายความว่าคุณต้องนั่งรอ
กังวลเกี่ยวกับการฉ้อโกงด้านการดูแลสุขภาพหรือไม่? คุณเคยถูกขโมยเวชระเบียนของคุณหรือไม่? หรือคุณมีแนวทางปฏิบัติด้านความปลอดภัยอะไรบ้าง? แจ้งให้เราทราบด้านล่าง!