Waarom steelt een Chinese bende miljoenen medische gegevens?
Community Health Systems (CHS), een Amerikaanse ziekenhuisnetwerk, heeft bij de beurswaakhond SEC bevestigd dat zijn computernetwerk geplunderd is door een externe cyberaanval.
Bij de hack, waarvan wordt aangenomen dat het het werk was van een Chinese bende, zijn data van 4,5 miljoen patiënten gestolen, allemaal mensen die in de laatste vijf jaar bij CHS werden behandeld. Waarschijnlijk is bijzonder gesofisticeerde malware gebruikt om het netwerk binnen te dringen, zegt CHS.
[related_article id=”161920″]
50 tot 250 dollar voor een medisch dossier
Het bedrijf benadrukt dat er geen gegevens van kredietenkaarten of medische dossiers zijn bemachtigd. Ook gevoelige intellectuele eigendommen bleven buiten schot, aldus de ziekenhuisketen. Volgens CHS is het vooral dat waar dit soort hackers naar op zoek zijn.
Toch kunnen ook de medische dossiers zelf veel geld waard zijn, zegt John Halamka, CIO van het Beth Israel Deconess Medical Center en voorzitter van het New England Healtchare Exchange Network. Door de hoge kostprijs voor medische hulp en het gebrek aan een gecentraliseerd systeem, gebruiken Amerikanen zonder ziekteverzekering soms de gehackte gegevens van mensen die wel een verzekering hebben. Identiteitsdiefstal dus.
Voor de juiste klant kan een medisch dossier tussen de 50 en 250 dollar waard zijn, aldus Halamka. Dat is stukken meer dan wat er voor kredietkaartnummers wordt betaald of voor een gebruikersnamen en wachtwoorden. “Wie een harttransplantatie nodig heeft die miljoenen dollars kost, kan voor 250 dollar een compleet medisch dossier inclusief verzekering bemachtigen.”
Lekke gezondheidsinstellingen
CHS heeft de aanval gemeld aan de politie en werkt samen met het beveiligingsbedrijf Mandiant om de malware van zijn computers te krijgen. In de afgelopen maanden zijn er heel wat beveiligingsincidenten geweest in ziekenhuizen. Het FBI waarschuwde in april nog voor de potentiële gevaren. Volgens een rapport van BitSight Technologies doen gezondheidsbedrijven en –instellingen het qua cyberveiligheid erg pover, vergeleken met banken of bedrijven uit andere sectoren.
Halamka ijvert voor één centraal patiëntendossier, zoals dat ook in sommige Europese landen bestaat. Door een oude wet van president Clinton, die sterk beperkt wat privébedrijven met patiëntengegevens mogen aanvangen, is dat echter erg moeilijk in te voeren. Een oplossing zou kunnen zijn om met een vrijwillig systeem te werken, waarbij patiënten expliciet toestemming geven om hun gegevens te delen. Het stukje privacy dat mensen daardoor opgeven, kan heel wat narigheid voorkomen, zegt de CIO.