Pelanggaran data rumah sakit dapat menyebabkan pencurian identitas, penipuan keuangan
Peretas tidak selalu menargetkan toko ritel dan bank; mereka juga menargetkan rumah sakit. Dengan melakukan itu, mereka dapat memperoleh sejumlah besar informasi yang sangat sensitif.
Penelitian terbaru mengidentifikasi jenis informasi apa yang dicuri peretas selama pembobolan data rumah sakit.
Peneliti dari Michigan State University (MSU) di East Lansing dan Johns Hopkins University di Baltimore, MD, mengungkapkan jenis data apa yang bocor dari server aman selama pembobolan data rumah sakit. Mereka mempublikasikan studi mereka di Annals of Internal Medicine.
Jenis pelanggaran data ini dapat memiliki konsekuensi yang parah bagi orang-orang yang informasinya diperoleh peretas, kata John (Xuefeng) Jiang, penulis utama dan profesor akuntansi dan sistem informasi MSU. Dia menambahkan bahwa tidak selalu penipuan finansial atau pencurian identitas yang terjadi. Ini juga dapat menyebabkan penyalahgunaan informasi medis yang sensitif.
Potensi penipuan, pencurian identitas, dan lainnya
“Kisah utama yang kami dengar dari para korban adalah bagaimana informasi sensitif yang dikompromikan menyebabkan kerugian finansial atau reputasi,” kata Prof. Jiang. "Penjahat mungkin mengajukan pengembalian pajak palsu atau mengajukan permohonan kartu kredit menggunakan nomor jaminan sosial dan tanggal lahir yang bocor dari pelanggaran data rumah sakit."
Ini adalah penelitian pertama yang mengungkap detail tentang jenis dan jumlah informasi kesehatan masyarakat yang diperoleh melalui insiden peretasan. Para peneliti memperkirakan bahwa 1.461 pelanggaran data yang terjadi selama 10 tahun dari 2009 hingga 2019 berdampak pada 169 juta orang.
Untuk mengidentifikasi data apa yang berisiko, peneliti membagi informasi menjadi salah satu dari tiga kategori: informasi demografis, yang mencakup nama dan alamat email; informasi keuangan, termasuk tanggal layanan, jumlah tagihan, dan informasi pembayaran; dan informasi medis, yang mencakup item seperti diagnosis dan pengobatan.
Penulis penelitian memecah informasi demografis lebih lanjut dengan mengkategorikan nomor jaminan sosial dan tanggal lahir ke dalam "informasi demografis sensitif", dan informasi keuangan, termasuk kartu pembayaran dan detail bank, ke dalam "informasi keuangan sensitif".
Kategori ini matang untuk eksploitasi dari mereka yang ingin melakukan pencurian identitas atau penipuan keuangan.
Mengetahui target adalah bagian penting dari pertempuran
Untuk informasi medis yang dikompromikan, para peneliti menempatkan diagnosis khusus dan pilihan pengobatan dalam kategori "informasi medis sensitif". Ini termasuk status HIV, penyakit menular seksual, penyalahgunaan zat, kesehatan mental, dan kanker. Ini berpotensi pelanggaran privasi yang parah bagi orang-orang yang terlibat.
Sekitar 70% dari pelanggaran data melibatkan informasi demografis atau keuangan yang sensitif. Ini berarti bahwa pencurian identitas dan penipuan finansial mungkin menjadi tujuan mayoritas dari mereka yang meretas informasi semacam ini.
Namun, 20 dari pelanggaran data membahayakan informasi medis sensitif, yang memengaruhi sekitar 2 juta orang.
“Tanpa memahami apa yang diinginkan musuh, kita tidak dapat memenangkan pertempuran,” kata Ge Bai, profesor akuntansi di Sekolah Bisnis Johns Hopkins Carey dan Sekolah Kesehatan Masyarakat Bloomberg. “Dengan mengetahui informasi spesifik yang dicari peretas, kami dapat meningkatkan upaya untuk melindungi informasi pasien.”
Langkah-langkah dan implikasi penelitian di masa depan
Mereka yang terlibat dalam studi ini merekomendasikan agar regulator, seperti Departemen Kesehatan, berupaya mengumpulkan secara formal jenis informasi yang bocor saat terjadi pelanggaran data dan menginformasikan kepada publik.
Mereka mengatakan ini akan membantu mereka yang terkena dampak potensi kerusakan. Selain itu, lembaga yang memiliki sumber daya terbatas dapat mengambil langkah-langkah untuk membatasi jumlah informasi yang dapat diakses untuk kemungkinan pelanggaran data. Misalnya, mereka dapat menyimpan informasi keuangan dan demografis di server yang berbeda.
Para peneliti mengatakan bahwa bidang lain yang menjadi perhatian melibatkan Departemen Kesehatan dan Layanan Kemanusiaan dan Kongres. Organisasi tersebut baru-baru ini memperkenalkan aturan baru untuk mendorong lebih banyak berbagi data. Menurut para peneliti, berbagi data memiliki efek samping yang tidak menguntungkan yaitu meningkatkan risiko pembobolan data.
Namun, rencana sudah ada, agar Prof Jiang dan Bai bekerja dengan anggota parlemen dan organisasi untuk memastikan informasi pribadi seaman mungkin.
