Les violations de données dans les hôpitaux pourraient entraîner un vol d'identité, une fraude financière
Les pirates informatiques ne ciblent pas toujours les magasins de détail et les banques; ils ciblent également les hôpitaux. Ce faisant, ils peuvent obtenir une quantité importante d'informations extrêmement sensibles.
Des recherches récentes identifient les types d'informations volées par les pirates informatiques lors d'une violation de données dans un hôpital.
Des chercheurs de la Michigan State University (MSU) à East Lansing et de l'Université Johns Hopkins de Baltimore, dans le Maryland, ont révélé quels types de données fuyaient des serveurs sécurisés lors de violations de données dans les hôpitaux. Ils ont publié leur étude dans le Annales de médecine interne.
Ce type de violation de données peut avoir de graves conséquences pour les personnes dont les pirates informatiques obtiennent les informations, explique John (Xuefeng) Jiang, auteur principal et professeur MSU de comptabilité et de systèmes d'information. Il ajoute que ce n'est pas toujours une fraude financière ou un vol d'identité qui en résulte. Cela peut également conduire à une utilisation abusive d'informations médicales sensibles.
Potentiel de fraude, de vol d'identité, etc.
«L'histoire principale que nous avons entendue de la part des victimes était de savoir comment des informations sensibles compromises ont causé une perte financière ou de réputation», explique le professeur Jiang. «Un criminel peut déposer une déclaration de revenus frauduleuse ou demander une carte de crédit en utilisant le numéro de sécurité sociale et les dates de naissance divulguées à la suite d'une violation de données hospitalières.»
Il s'agit de la première recherche qui a révélé des détails sur les types et la quantité d'informations de santé publique obtenues lors d'incidents de piratage. Les chercheurs estiment que les 1461 violations de données survenues sur 10 ans entre 2009 et 2019 ont touché 169 millions de personnes.
Pour identifier les données à risque, les chercheurs ont divisé les informations en trois catégories: les informations démographiques, qui comprennent les noms et les adresses électroniques; les informations financières, y compris la date du service, le montant de la facturation et les informations de paiement; et les informations médicales, qui comprennent des éléments tels que les diagnostics et les traitements.
Les auteurs de l'étude ont décomposé davantage les informations démographiques en classant les numéros de sécurité sociale et les dates de naissance en «informations démographiques sensibles», et les informations financières, qui comprenaient les cartes de paiement et les coordonnées bancaires, en «informations financières sensibles».
Ces catégories sont prêtes à être exploitées par ceux qui veulent commettre un vol d'identité ou une fraude financière.
Connaître la cible est un élément clé de la bataille
Pour les informations médicales compromises, les chercheurs ont placé des diagnostics et des options de traitement spécifiques dans une catégorie «informations médicales sensibles». Ceux-ci comprenaient le statut VIH, les maladies sexuellement transmissibles, la toxicomanie, la santé mentale et le cancer. Celles-ci pouvaient entraîner de graves violations de la vie privée des personnes impliquées.
Environ 70% des violations de données concernaient des informations démographiques ou financières sensibles. Cela signifie que le vol d'identité et la fraude financière peuvent être l'objectif de la majorité de ceux qui piratent ce type d'informations.
Cependant, 20 des violations de données ont compromis des informations médicales sensibles, qui ont touché environ 2 millions de personnes.
«Sans comprendre ce que veut l'ennemi, nous ne pouvons pas gagner la bataille», déclare Ge Bai, professeur agrégé de comptabilité à la Johns Hopkins Carey Business School et à la Bloomberg School of Public Health. «En connaissant les informations spécifiques recherchées par les pirates informatiques, nous pouvons intensifier nos efforts pour protéger les informations des patients.»
Étapes futures et implications de l'étude
Les personnes impliquées dans cette étude recommandent que les régulateurs, tels que le ministère de la Santé, s'efforcent de collecter formellement les types d'informations qui fuient lors d'une violation de données et d'informer le public.
Ils disent que cela aidera les ânes affectés à des dommages potentiels. En outre, les institutions qui disposent de ressources limitées pourraient prendre des mesures pour limiter la quantité d'informations accessibles à une éventuelle violation de données. Par exemple, ils pourraient stocker des informations financières et démographiques sur différents serveurs.
Les chercheurs affirment qu'un autre domaine de préoccupation concerne le ministère de la Santé et des Services sociaux et le Congrès. L'organisation a récemment introduit de nouvelles règles pour encourager davantage de partage de données. Selon les chercheurs, le partage de données a pour effet secondaire malheureux d'augmenter le risque de violation de données.
Des plans sont déjà en place, cependant, pour que le professeur Jiang et Bai travaillent avec les législateurs et les organisations pour s'assurer que les informations personnelles sont aussi sûres que possible.
