ČAk i šifrirane podatke medicinskih zapisa o istjecanju podataka

Nova studija istraživača tvrtke Microsoft upozorava da su mnoge vrste baza podataka koje se koriste za elektronsku medicinsku dokumentaciju podložne istjecanju informacija unatoč upotrebi enkripcije.

Rad koji treba predstaviti na ACM konferenciji na računalnoj i komunikacijskoj sigurnosti sljedećeg mjeseca, pokazuje koliko osjetljive medicinske informacije o pacijentima mogu biti ukradene pomoću četiri različita napada.

Istraživači su otkrili podatke o spolu, dobi, dobi i prijemu, među ostalim podacima, koristeći prave podatke o pacijentima od 200 američkih bolnica

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

U svjetlu sve većih napada na internet u industriji zdravstvene zaštite, istraživači su preporučili da sustavi koje su proučili "ne bi trebali biti korišteni u kontekstu" elektroničkih medicinskih zapisa. "

Usredotočeni su na šifrirane relacijske baze podataka temeljene na dizajnu CryptDB, koji omogućuje izvršavanje SQL upita na kodiranim podacima.

Baze podataka ovog dizajna često koriste sheme enkripcije (PPE) za očuvanje imovine kako bi se omogućilo pretraživanje. Sustavi OZO dugo su poznati kako propuštaju neobavijesne podatke, ali "do sada nisu istraženi u mjeri u kojoj su ti sustavi ranjivi", napisali su.

Sustavi CryptDB-a često koriste organizacije jer malo promjena zahtijevaju se za naslijeđenu infrastrukturu baze podataka i oni se pokreću na šifriranim podacima "na isti način kao i oni koji rade na običnim podacima", prema radu. Također, brzo su.

Šifriranje se smatra jednim od najboljih obrana od cyberattacks. Ako su podaci bili oporavljeni, napadači trebaju ključeve za dešifriranje - koji su zaštićeni - kako bi ih pročitali.

Ali upotreba enkripcije također znači da se podaci neprestano dešifriraju kako bi bili korisni. Često se šifrirane informacije dešifriraju u memoriji računala, što je opasno ako cyberattackeri mogu pristupiti toj mreži.

"Kada šifrirana baza podataka radi u stabilnom stanju u kojem su uklonjene dovoljno slojeva kriptiranja kako bi se aplikacija mogla pokrenuti upitima, naši eksperimentalni rezultati pokazuju da se alarmantna količina osjetljivih informacija može oporaviti ", napisao je istraživač.

Jedan od njihovih" kumulativnih "napada otkrio je" težinu bolesti, rizik smrtnosti, dob, duljinu boravka, mjesec prijema i tip prijema od najmanje 80 posto pacijenata za najmanje 95 posto od najvećih 200 bolnica. "

Iako su se usredotočili na baze podataka s elektronskim medicinskim zapisima, napadi bi vjerojatno bili uspješni protiv ljudskih resursa ili računovodstvenih baza podataka, ti sustavi često pohranjuju iste vrste demografskih podataka.

Zdravstvena industrija teško su pogođeni hakerima. Jedan od najvećih američkih zdravstvenih osiguravatelja, himna, izvijestio je u veljači da je došlo do prekoračenja podataka o eksponentnim informacijama o više od 80 milijuna ljudi.

Ukradeni podaci nikada nisu javno objavljeni. Sigurnosni stručnjaci izjavili su da su forenzičke naznake odgovarale metodama koje je koristila jedna dugo poznata skupina u Kini, nadimak Deep Panda.

Oko mjesec dana kasnije, zdravstveni osiguravatelj Premera izjavio je da su podaci o kupcima, uključujući bankovni račun i kliničke podatke od 2002. godine, ugrožena je u napadu, koja utječe na 11 milijuna ljudi.