Diefstal van medische gegevens is een probleem dat veel vaker voorkomt dan voorheen werd gedacht. Hiervan is sprake in 18 van de 20 branches die werden geanalyseerd voor het onlangs gepubliceerde ‘Verizon 2015 Protected Health Information Data Breach Report’. Verizon deed hiervoor onderzoek naar 1.931 incidenten in 25 landen waaronder Nederland.
De meeste organisaties buiten de gezondheidszorg beseffen zich niet eens dat zij medische gegevens in hun bezit hebben. Vaak gaat het om vertrouwelijke medische informatie van werknemers zoals zorgdeclaraties en informatie over deelname aan gezondheidsprogramma’s. Deze gegevens worden over het algemeen onvoldoende beschermd. “Veel organisaties doen niet genoeg om deze bijzonder gevoelige en vertrouwelijke informatie te beschermen”, zegt Suzanne Widup, senior security analyst en hoofdredacteur van het rapport.
“Dit kan ingrijpende gevolgen hebben voor de betrokken personen en hun familie en resulteert daarnaast in hogere zorgkosten. Beschermde medische gegevens zijn momenteel een zeer gewild doelwit voor cybercriminelen.” “Zorginstellingen moeten zich beseffen dat patiënten hun persoonlijke informatie aan hen toevertrouwen, en dat het beschamen van dit vertrouwen verstrekkende gevolgen kan hebben”, aldus Widup.
Volgens recente onderzoeken waarnaar het rapport verwijst, houden mensen soms cruciale informatie achter voor zorgverleners omdat zij zich zorgen maken over de mogelijkheid dat hun medische gegevens worden gestolen.
Incidenten waarbij medische gegevens worden gestolen, wijken op verschillende manieren af van de andere onderzochte incidenten bijvoorbeeld het type aanvaller. Medische gegevens worden vaak gestolen door insiders. Aanvallers zijn vooral uit op persoonlijk herleidbare informatie in medische dossiers, zoals creditcardnummers en Burgerservicenummers. Deze informatie kunnen zij gebruiken voor financiële misdrijven en belastingfraude.
Ook de manier waarop medische gegevens worden buitgemaakt verschilt. De meest voorkomende oorzaak is de diefstal van draagbare apparaten (laptop, tablets, USB-sticks), gevolgd door menselijke fouten zoals het verzenden van een medisch dossier naar de verkeerde ontvanger of het verlies van een laptop. De derde meest voorkomende oorzaak is misbruik van toegangsrechten door werknemers. Deze drie oorzaken staan aan de basis van 86 procent van alle gevallen van diefstal van medische gegevens.
Volgens het rapport verstrijken er vaak maanden of zelfs jaren voordat een incident wordt gedetecteerd. In het laatste geval is de kans drie keer hoger dat er sprake was van een insider die misbruik maakte van zijn of haar toegangsrechten binnen het LAN, en is de kans twee keer zo groot dat het doelwit een server was, en waarschijnlijk een database die daarop draaide.
Om een oplossing voor dit probleem te bieden, reikt Verizon in zijn rapport inzichten en aanbevelingen aan die organisaties helpen om hun gegevens effectief te beschermen. Verizon wijst er daarnaast op dat medische gegevens op veel meer locaties kunnen zijn opgeslagen dan organisaties zich mogelijk beseffen.
Alles bij de bron; BeveiligingsWereld