Badacz cyberbezpieczeństwa przedstawił szczegóły dotyczące ogromnej bazy danych pacjentów medycznej marihuany, która według niego była publicznie dostępna.
Wraz z rozprzestrzenianiem się programów medycznej marihuany na całym świecie, rośnie również ilość powiązanych z nimi wrażliwych informacji o pacjentach przechowywanych w internetowych bazach danych. Niektóre z nich są lepiej chronione niż inne, a w najgorszym przypadku – wcale.
Jeremiah Fowler jest doświadczonym badaczem cyberbezpieczeństwa, technologiem i dziennikarzem, który twierdzi, że odkrył tysiące naruszeń danych w różnych sektorach w ciągu ostatniej dekady.
Fowler niedawno napisał o niezaszyfrowanej i niezabezpieczonej hasłem bazie danych, którą odkrył, należącej do organizacji z siedzibą w Ohio, zaangażowanej w pomoc pacjentom w uzyskaniu kart identyfikacyjnych marihuany. Baza danych zawierała podobno 957 434 rekordów.
Pan Fowler twierdzi, że widział:
- Zdjęcia praw jazdy w wysokiej rozdzielczości.
- Dokumenty identyfikacyjne zawierające imiona i nazwiska, adresy, daty urodzenia i numery licencji.
- Formularze zgłoszeniowe.
- Dokumentacja medyczna.
- Formularze zwolnienia.
- Formularze zaświadczeń lekarskich z numerami ubezpieczenia społecznego.
- Oceny zdrowia psychicznego.
- Dokumenty tożsamości z wielu stanów.
Fowler twierdzi, że wysłał zawiadomienie o odpowiedzialnym ujawnieniu danych do zaangażowanej organizacji. Nie otrzymał odpowiedzi, ale następnego dnia dostęp do bazy danych został ograniczony.
„Firmy i organizacje, które gromadzą i przechowują potencjalnie wrażliwe dokumenty (takie jak informacje o pacjentach i dane zdrowotne), powinny podjąć dodatkowe środki bezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi i przypadkowemu ujawnieniu danych”. mówi.
Wśród jego zaleceń:
- Używaj szyfrowania.
- Ochrona plików PDF hasłem.
- Nie przechowuj wszystkich danych w jednym miejscu.
- Odizoluj rekordy, które nie są aktywnie używane.
- Używaj uprawnień opartych na rolach i ograniczonego czasowo dostępu do wrażliwych plików.
- Odpowiednie szkolenie w zakresie kwestii bezpieczeństwa, takich jak prywatność danych, ochrona danych i świadomość phishingu.
Fowler zauważa, że ogólnie rzecz biorąc, dokumentacja medyczna dotycząca zdrowia i zdrowia psychicznego jest chroniona zgodnie z ustawą Health Insurance Portability and Accountability Act (HIPAA) w USA, która ma surowe standardy prywatności i bezpieczeństwa.
„Istnieją mieszane wiadomości dotyczące zakresu HIPAA i branży medycznej marihuany, ale kiedy poszczególni pracownicy podmiotów objętych HIPAA uzyskują dostęp do PHI, podlegają zasadom prywatności i bezpieczeństwa HIPAA” – mówi.
Takie incydenty są szczególnie niepokojące dla pacjentów, biorąc pod uwagę wrażliwy charakter ich informacji – i to, co można z nimi zrobić. Tak więc pacjenci powinni nie tylko martwić się o jakość usług/produktów przed podpisaniem umowy z dostawcą, ale także zapytać o ogólny charakter ich bezpieczeństwa informacji.