Ny rapport visar: personlig hälsoinformation högrisk vid dataintrång

Ny rapport visar: personlig hälsoinformation högrisk vid dataintrång. Inom finansvärlden har man länge varit införstådd med vikten av att skydda känslig data. När det kommer till personlig hälsoinformation är det inte lika självklart. Det gäller inte bara sjukvården utan alla branscher där man samlar in personlig information relaterad till hälsa. Verizon Enterprise Solutions har precis släppt Protected Health Information (PHI) Data Breach Report som belyser riskerna och hur de kan undvikas.                                                                                                         

Ny rapport visar: personlig hälsoinformation högrisk vid dataintrång
Suzanne Widup, senior security analyst på Verizon samt huvudförfattare för Verizons PHI Data Breach Report

Man har undersökt incidenter från 25 länder, inklusive detaljerade analyser av bekräftade intrång som rör mer än 392 miljoner stulna filer och 1931 incidenter. Rapporten visar att hela 90 % av alla branscher (20 stycken) har drabbats av ett dataintrång rörande PHI, d v s personlig hälsoinformation.

Flera branscher utsatta

Många branscher, i synnerhet utanför sjukvårdsindustrin, är inte medvetna om att de besitter den här typen av känslig data. IT-brottslingar som är ute efter information kring personuppgifter eller t ex sjukvårdsförsäkringar i personalfiler gör intrång även utanför den naturliga vårdmiljön. Det här är ett allvarligt problem som drabbar såväl företag och organisationer som enskilda patienter.

Risker i patient-/läkarrelationen

Om patienter upplever att deras personuppgifter inte är säkra hos läkaren kan det få långtgående konsekvenser. Naturligtvis först och främst på ett personligt plan. Osäkerheten kan leda till att patienten undanhåller information vilket kan fördröja tillfrisknandet men även vara en samhällsrisk ifråga om eventuell farlig smittspridning. Rapporten visar att de faktorer som har störst inflytande på om en patient undanhåller information är; patientens hälsa, stigma kring sjukdomen och om de känner att organisationen inte har full kontroll över personuppgifterna.

Externa aktörer och insiderbrott

Verizons forskning kring dataintrång visar att hackarnas taktik påverkas av vilken data de är ute efter, var den lagras och hur den hanteras. De tre vanligaste aktiviteterna relaterade till PHI-intrång är 1) fysiska såsom stöld, 2) missbruk av information samt 3) rena misstag. Vid första anblicken är antalet externa och interna aktörer nästintill detsamma vilket innebär att det finns en hel del insiderbrott. En stor del av de interna ingreppen är dock relaterade till misstag och inte gjorda med ont uppsåt.

Kryptering viktig

De vanligaste intrången handlade om att komma åt medicinska rapporter, kreditkortsinformation och personlig information såsom personnummer. Inom vården finns många fysiska enheter och man behöver se till att informationen är krypterad. I nödsituationer måste informationen vara lättillgänglig men i alla andra lägen bör den vara skyddad. Man kan aldrig hindra mobila enheter från att bli stulna eller hamna i orätta händer men känslig information kan vara dold.

Förekomma dataintrång

Verizons syfte med rapporten är att hjälpa företag och organisationer inom alla branscher att förstå vikten av att identifiera och skydda den här typen av information innan ett dataintrång inträffar.

  • Varhelst det finns PHI data finns det en risk, säger Suzanne Widup, senior security analyst på Verizon samt huvudförfattare för rapporten. Vår förhoppning är att alla berörda branscher kommer till insikt om att man besitter den här typen av känslig information. Det är viktigt att undersöka var och hur man har lagrat personliga uppgifter så att de kan skyddas på bästa sätt, avslutar Suzanne Widup.

Suzanne Widup is a senior security analyst and a co-author of the Verizon Data Breach Investigations Research report. Prior to joining Verizon, Widup held security-related positions at several other organizations, including Pacific Gas and Electric Company, Safeway and Oracle. She is also president and a founding member of the Digital Forensics Association.

Post Comment