Dane medyczne stanowią łakomy kąsek dla cyberprzestępców. Według danych rządu USA, w ciągu pierwszych dziesięciu miesięcy 2023 r. w tym kraju doszło do ujawnienia danych medycznych ponad 88 milionów osób. Także polską opinię publiczną w ostatnim czasie elektryzowały głośne przypadki wycieków danych pacjentów i dokumentacji medycznej. Jak zminimalizować skutki takiego naruszenia informacji – radzą eksperci ds. cyberbezpieczeństwa ESET.
Transformacja cyfrowa to dla podmiotów świadczących opiekę zdrowotną perspektywa oszczędności i sprawniejszego działania, a dla pacjentów – komfort i poprawa standardów opieki. Cyfryzacja dokumentacji medycznej wiąże się jednak również z poważnymi zagrożeniami cybernetycznymi. Gdy dane są przechowywane w systemach informatycznych, do których można uzyskać dostęp za pośrednictwem internetu, mogą one zostać przypadkowo ujawnione lub dostęp do nich mogą uzyskać osoby trzecie o złych intencjach, jak również osoby z wewnątrz organizacji, których zamiary nie są czyste.
– Dane medyczne należą do najbardziej wrażliwych informacji, jakie udostępniamy organizacjom. Dlatego też RODO nadaje im status „kategorii specjalnej”, co oznacza, że wymagane są dodatkowe zabezpieczenia. Jednak żadna organizacja nie jest w 100% odporna na naruszenia. Dlatego ważniejsze niż kiedykolwiek jest zrozumienie, co należy zrobić w przypadku naruszenia bezpieczeństwa danych – aby zminimalizować skutki takich incydentów. Różnego typu instytucjom medycznym powierzamy przecież cenne informacje, nie tylko nasze podstawowe dane osobowe, ale też np. numery polis, historię medyczną, wyniki badań, informacje o przyjmowanych lekach, przeprowadzanych procedurach, a także informacje rozliczeniowe i finansowe – komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
8 kroków, które należy podjąć, jeśli nasze dane medyczne wyciekły – porady ekspertów ESET:
- Sprawdź ewentualne powiadomienie o wycieku, jakie otrzymałeś
Przeczytaj uważnie wiadomość e-mail pod kątem wszelkich oznak potencjalnego oszustwa. Znaki ostrzegawcze obejmują błędy ortograficzne i gramatyczne oraz pilne prośby o podanie danych osobowych, być może z prośbą o „potwierdzenie” danych. Zwróć również uwagę na adres e-mail nadawcy, który nie pasuje do legalnej firmy po najechaniu kursorem na adres „od”, a także na osadzone linki, do których kliknięcia jesteś zachęcany, lub załączniki, o których pobranie jesteś proszony. - Dowiedz się dokładnie, co się stało
Kolejnym ważnym krokiem jest zrozumienie poziomu narażenia na ryzyko. Jakie dokładnie informacje zostały naruszone? Czy incydent był przypadkowym ujawnieniem danych, czy też strony trzecie uzyskały dostęp do danych i ukradły je? Jakiego rodzaju informacje mogły zostać ujawnione? Czy były one zaszyfrowane? Jeśli Twój dostawca nie odpowiedział odpowiednio na te pytania, zadzwoń do niego, aby uzyskać informacje potrzebne do podjęcia kolejnych kroków. Jeśli nadal jest to niejasne, przygotuj się na najgorszy scenariusz. - Monitoruj swoje konta
Jeśli złośliwe podmioty uzyskały dostęp do Twoich danych osobowych i informacji medycznych, mogą sprzedać je oszustom lub próbować wykorzystać je samodzielnie. Weryfikuj uważnie trafiające do ciebie rachunki za świadczenia medyczne czy powiadomienia z aplikacji medycznych, w poszukiwaniu jakichkolwiek niepokojących zmian. Jeśli podmiot medyczny, u którego doszło do wycieku danych, mógł przechowywać i przetwarzać Twoje dane finansowe (np. numer konta), przyglądaj się uważnie transakcjom bankowym.
Pamiętaj też, że zastrzeżenie numeru PESEL (rekomendujemy to zrobić na stałe), pomoże ochronić przed wieloma przykrymi konsekwencjami wycieku danych: m.in. nikt nie zdoła wziąć w Twoim imieniu kredytu i pożyczki, wypłacić w banku większej gotówki, sprzedać nieruchomości czy wyrobić duplikatu karty SIM.
- Zgłaszaj podejrzane działania
Jest rzeczą oczywistą, że należy natychmiast zgłaszać wszelkie podejrzane działania do odpowiedniego dostawcy. Najlepiej zrobić to na piśmie, a także powiadomić ubezpieczyciela / dostawcę usług za pośrednictwem poczty elektronicznej / telefonu. - Zablokowanie konta i kart
Jeśli podejrzewasz, że wśród danych jakie wyciekły, mogły znajdować się także Twoje dane finansowe (np. numer karty za pomocą której uiszczałeś opłaty za dodatkowe świadczenia medyczne) warto zablokować kartę i zgłosić chęć wydania nowej. Często można to zrobić za pomocą aplikacji bankowej. Wszelkie transakcje na kartach, których nie wykonywaliśmy, należy reklamować w swoim banku. - Zmiana haseł
Jeśli dane logowania zostały naruszone w wyniku włamania, odpowiedni dostawca powinien je automatycznie zresetować. Jeśli jednak tak się nie stało, warto zrobić to ręcznie – dla świętego spokoju. Zapobiegnie to próbom przejęcia konta – zwłaszcza jeśli zwiększysz bezpieczeństwo dzięki uwierzytelnianiu dwuskładnikowemu. Pamiętaj o nie używaniu tego samego hasła do różnych portali. - Zachowaj czujność
Jeśli oszuści zdobędą Twoje dane osobowe i medyczne, mogą próbować wykorzystać je w kolejnych atakach phishingowych. Mogą one być przeprowadzane za pośrednictwem poczty elektronicznej, wiadomości tekstowych, a nawet połączeń telefonicznych. Celem jest wykorzystanie skradzionych informacji, aby zwiększyć wiarygodność próśb o podanie bardziej osobistych informacji lub nakłonić Cię do konkretnych działań. Zachowaj czujność. A jeśli ktoś próbuje wymusić na Tobie ujawnienie poufnych danych medycznych, natychmiast skontaktuj się z policją. - Rozważ podjęcie kroków prawnych
Jeśli Twoje dane zostały naruszone z powodu rażącego zaniedbania ze strony Twojego dostawcy usług medycznych i poniosłeś wymierne straty, możesz w niektórych przypadkach domagać się odszkodowania. Prawnik najlepiej doradzi ci, jak zachowywać się w takiej sytuacji i wskaże ścieżkę, np. indywidualną lub pozew zbiorowy.