LES VIOLATIONS DE DONNEES DANS LES HOPITAUX POURRAIENT ENTRAINER LE VOL D'IDENTITE ET LA FRAUDE FINANCIERE

 

Les pirates ne ciblent pas toujours les magasins de détail et les banques; ils ciblent également les hôpitaux. Ce faisant, ils peuvent obtenir une quantité importante d'informations extrêmement sensibles.

 

Une nouvelle recherche examine les informations susceptibles de fuir lors de violations de données à l'hôpital.

Des recherches récentes identifient quels types d'informations les pirates informatiques volent lors d'une violation de données à l'hôpital.

Des chercheurs de la Michigan State University (MSU) à East Lansing et de la Johns Hopkins University à Baltimore, dans le Maryland, ont révélé les types de fuite de données de serveurs sécurisés lors de violations de données à l'hôpital. Ils ont publié leur étude dans les Annals of Internal Medicine.

Ce type de violation de données peut avoir de graves conséquences pour les personnes dont les pirates informatiques obtiennent les informations, déclare John (Xuefeng) Jiang, auteur principal et professeur MSU en systèmes de comptabilité et d'information. Il ajoute que ce n'est pas toujours une fraude financière ou un vol d'identité qui se produit. Cela peut également conduire à une utilisation abusive d'informations médicales sensibles.

Possibilité de fraude, d'usurpation d'identité, etc.

"La principale histoire que nous avons racontée de la part des victimes était la suivante: comment des informations sensibles compromises ont-elles entraîné une perte financière ou une perte de réputation", a déclaré le professeur Jiang. "Un criminel peut produire une déclaration de revenus frauduleuse ou demander une carte de crédit en utilisant le numéro de sécurité sociale et les dates de naissance révélés par une violation des données d'un hôpital."

Il s'agit de la première étude qui a révélé des détails sur les types et la quantité d'informations de santé publique obtenues lors d'incidents de piratage. Les chercheurs estiment que les 1 461 violations de données survenues sur une période de 10 ans de 2009 à 2019 ont touché 169 millions de personnes.

 

Plus de lots de médicaments contre l'hypertension courants retirés du marché

Le losartan peut contenir des concentrations élevées d'un cancérigène humain.

 

Pour identifier les données à risque, les chercheurs ont divisé les informations en l'une des trois catégories suivantes: informations démographiques, qui incluent les noms et adresses électroniques; informations financières, y compris date du service, montant de la facturation et informations de paiement; et des informations médicales, notamment des diagnostics et des traitements.

Les auteurs de l'étude ont décomposé les informations démographiques en catégorisant les numéros de sécurité sociale et les dates de naissance en "informations démographiques sensibles" et les informations financières, notamment les cartes de paiement et les coordonnées bancaires, en "informations financières sensibles".

Ces catégories sont prêtes à être exploitées par ceux qui veulent commettre un vol d’identité ou une fraude financière.

Connaître la cible est un élément clé de la bataille

Pour des informations médicales compromises, les chercheurs ont classé des diagnostics spécifiques et des options de traitement dans une catégorie "informations médicales sensibles". Ceux-ci comprenaient le statut VIH , les maladies sexuellement transmissibles , la toxicomanie, la santé mentale et le cancer . Cela risquait d'entraîner de graves violations de la vie privée des personnes impliquées.

Environ 70% des violations de données impliquaient des informations démographiques ou financières sensibles. Cela signifie que l'usurpation d'identité et la fraude financière peuvent être l'objectif de la majorité de ceux qui piratent ce type d'informations.

Cependant, 20 des violations de données ont compromis des informations médicales sensibles, qui ont affecté environ 2 millions de personnes.

"Sans comprendre ce que veut l'ennemi, nous ne pouvons pas gagner la bataille", a déclaré Ge Bai, professeur agrégé de comptabilité à la Johns Hopkins Carey Business School et à la Bloomberg School of Public Health. "En sachant que les pirates informatiques recherchent des informations spécifiques, nous pouvons intensifier nos efforts pour protéger les informations des patients."

Étapes futures et implications de l'étude

Les personnes participant à cette étude recommandent aux autorités de réglementation, telles que le ministère de la Santé, de s’efforcer de collecter formellement les types d’informations qui se répandent lors d’une violation de données et d’informer le public.

Ils disent que cela aidera les victimes affectées. En outre, les institutions disposant de ressources limitées pourraient prendre des mesures pour limiter la quantité d'informations accessibles à une éventuelle violation de données. Par exemple, ils pourraient stocker des informations financières et démographiques sur différents serveurs.

Les chercheurs disent qu'un autre sujet de préoccupation concerne le ministère de la Santé et des Services sociaux et le Congrès. L'organisation a récemment introduit de nouvelles règles pour encourager davantage de partage de données. Selon les chercheurs, le partage de données a malheureusement pour effet secondaire d’augmenter le risque de violation de données.

Les projets des professeurs Jiang et Bai sont déjà en place, de concert avec les législateurs et les organisations pour garantir la sécurité des informations personnelles.