Полмиллиона медицинских записей из Великобритании выставлены на продажу на Alibaba
Правительство Великобритании подтверждает, что конфиденциальные данные о состоянии здоровья участников британского биобанка были выставлены на продажу на китайском сайте Alibaba. Записи удалены.
В результате серьезного нарушения безопасности данных правительство Великобритании подтвердило, что конфиденциальные медицинские записи, принадлежащие примерно полумиллиону британских добровольцев, участвующих в проекте британского биобанка, были выставлены на продажу на китайской платформе электронной коммерции Alibaba. Это тревожное открытие было впервые сделано на прошлой неделе, когда исследователи и чиновники обнаружили три отдельных списка, содержащих конфиденциальную информацию о личном здоровье участников исследования.
Раскрытие медицинских записей представляет собой один из наиболее серьезных инцидентов с конфиденциальностью, затронувших британских граждан за последнее время, поднимая серьезные вопросы о том, как можно было получить доступ к таким конфиденциальным данным и впоследствии сделать их доступными на коммерческом рынке. Должностные лица, занимающиеся технологиями, оперативно предприняли меры по устранению ситуации: представители правительства проинформировали парламент об инциденте и подтвердили, что все выявленные списки с тех пор были удалены с платформы. Согласно первоначальным расследованиям, нет никаких доказательств того, что какая-либо фактическая продажа данных была завершена до удаления рекламы.
Обнаружение вызвало немедленную реакцию министерства технологий правительства Великобритании, которое представило членам Палаты общин подробные выводы относительно масштабов и характера утечки данных. Чиновники охарактеризовали эту информацию как "обезличенную", предполагая, что, хотя личные данные, возможно, были удалены из записей, сами данные о здоровье остаются очень конфиденциальными и потенциально ценными для злоумышленников, заинтересованных в медицинских исследованиях, страховом мошенничестве или схемах кражи личных данных.
Биобанк Великобритании — это крупная исследовательская инициатива, в которой приняли участие сотни тысяч британских добровольцев, которые предоставили свою генетическую информацию, историю болезни и данные об образе жизни для поддержки научных исследований болезней и состояний здоровья. Участники этой программы исследований биобанков дают согласие на использование их информации в законных научных целях, при этом теоретически предусмотрены строгие меры безопасности для защиты их частной жизни и обеспечения конфиденциальности их данных. Несанкционированное размещение этой информации на Alibaba представляет собой серьезное нарушение этого доверия и обязательств по конфиденциальности, взятых перед участниками.
Расследование того, как произошла утечка данных, продолжается, и власти пытаются определить, была ли информация получена путем взлома, кражи внутренним лицом или с помощью каких-либо других средств несанкционированного доступа. Тот факт, что данные появились на Alibaba, одной из крупнейших в мире платформ электронной коммерции, предполагает глубокие знания о том, как ориентироваться на международных рынках данных и избегать обнаружения. В конечном итоге эти списки были отмечены исследователями и специалистами по безопасности, которые отслеживают подобную незаконную деятельность в Интернете.
Этот инцидент подчеркивает рост уязвимостей, с которыми сталкиваются крупномасштабные хранилища медицинских данных, а также растущую изощренность киберпреступников, нацеленных на ценную личную информацию. Даже хорошо финансируемые исследовательские учреждения со специальными группами безопасности сталкиваются с проблемами в предотвращении несанкционированного доступа к своим базам данных, особенно когда они имеют дело с международными субъектами, которые могут действовать в нескольких юрисдикциях, где соблюдение требований затруднено. Нарушение подчеркивает необходимость более надежных мер безопасности и международного сотрудничества по вопросам защиты данных.
Правительство подтвердило факт взлома в официальных парламентских заявлениях, в которых чиновники министерства технологий подробно описали свои выводы и меры, предпринятые в ответ. Эту прозрачность приветствовали защитники конфиденциальности и оппозиционные политики, которые уже давно выражают обеспокоенность по поводу адекватности защиты конфиденциальной медицинской информации. Инцидент возобновил дебаты об управлении данными, обязанностях организаций, хранящих большие наборы данных, и о том, обеспечивают ли действующие правила достаточные гарантии безопасности для британских граждан.
Официальные лица подчеркнули, что после обнаружения списков были приняты оперативные меры, при этом немедленная координация между властями Великобритании и Alibaba привела к удалению всех выявленных рекламных объявлений. Однако остаются вопросы о том, как долго данные могли быть доступны для покупки, сколько людей могло получить доступ к спискам и проводились ли какие-либо предварительные переговоры или частичные транзакции перед удалением. Эти детали имеют решающее значение для понимания всего масштаба потенциальной угрозы.
Этот инцидент поднимает важные вопросы о международных стандартах безопасности данных и проблемах защиты информации британских граждан, когда к ней могут получить доступ иностранные субъекты или организации, действующие за пределами юрисдикции Великобритании. Платформы электронной коммерции, базирующиеся в Китае, хотя и имеют свои собственные протоколы безопасности, могут работать в рамках другой нормативной базы, чем в Соединенном Королевстве, что потенциально создает пробелы в надзоре и подотчетности. Нарушение показывает, что защита данных становится не только внутренней проблемой, но и во все большей степени проблемой международной безопасности.
Эксперты по вопросам конфиденциальности в сфере здравоохранения выразили особую обеспокоенность по поводу этого типа разглашения личной медицинской информации, поскольку медицинские записи содержат некоторые из наиболее конфиденциальных данных о людях, включая генетическую предрасположенность, диагнозы и информацию о лечении, которые могут быть использованы для дискриминации или шантажа. В отличие от финансовой информации или контактных данных, которые можно относительно легко изменить или отслеживать, информация о здоровье представляет собой постоянные и неизменные персональные данные, которые невозможно сбросить или восстановить в случае компрометации. Долгосрочные последствия для пострадавших остаются неопределенными.
Обнаружение и удаление списков представляет собой важное вмешательство, которое, вероятно, предотвратило более широкий доступ к медицинским записям и их распространение. Однако эксперты по кибербезопасности отмечают, что данные, доступные на общедоступных веб-сайтах, часто архивируются и дублируются на нескольких платформах и базах данных, а это означает, что копии информации могут по-прежнему существовать в различных местах в Интернете. Задача полного удаления таких широко распространенных данных из обращения остается серьезной проблемой в эпоху цифровых технологий.
Организаторы Биобанка Великобритании объявили о планах провести комплексную проверку своих процедур безопасности данных и контроля доступа, чтобы предотвратить подобные инциденты в будущем. В ходе этой проверки, скорее всего, будет изучено, как сотрудники получают доступ к конфиденциальной информации, адекватны ли контрольные журналы и могут ли быть реализованы дополнительные технические меры безопасности, такие как шифрование или ограничения доступа. Организация сталкивается с необходимостью восстановить доверие общественности к ее способности защитить данные участников.
Этот инцидент также вызвал более широкую дискуссию в правительстве Великобритании о необходимости обновления законодательства и механизмов правоприменения для устранения развивающихся угроз кибербезопасности системам здравоохранения и исследовательским учреждениям. Действующие правила, хотя и являются всеобъемлющими во многих отношениях, могут неадекватно учитывать скорость и изощренность, с которой действуют современные киберпреступники, или трансграничный характер операций по краже и перепродаже данных. Политики рассматривают вопрос о том, необходимы ли новые правовые рамки или международные соглашения для обеспечения лучшей защиты.
Для полумиллиона британских добровольцев, чьи данные были скомпрометированы, нарушение вызывает законную обеспокоенность по поводу их личной безопасности и конфиденциальности. Многие люди добросовестно согласились поделиться своей медицинской информацией с исследователями, ожидая, что их данные будут защищены и будут использоваться только в законных научных целях. Тот факт, что их конфиденциальная медицинская история была выставлена на продажу на коммерческом рынке, представляет собой фундаментальное предательство этого согласия и доверия, независимо от того, имели ли место реальные продажи или были ли идентификаторы удалены из записей.
