Півмільйона медичних записів Великобританії знайдено для продажу на Alibaba

Уряд Великої Британії підтвердив значний порушення безпеки даних про те, що конфіденційні записи про стан здоров’я приблизно півмільйона британських волонтерів, які беруть участь у проекті UK Biobank, були виставлені на продаж на китайській платформі електронної комерції Alibaba. Це тривожне відкриття вперше було зроблено минулого тижня, коли дослідники та офіційні особи ідентифікували три окремі списки, що містять конфіденційну особисту інформацію про здоров’я цих учасників дослідження.

Викриття медичних записів є одним із найбільш серйозних інцидентів із порушенням конфіденційності, що вплинули на британських громадян за останній час, викликаючи серйозні запитання про те, як можна було отримати доступ до таких конфіденційних даних і згодом зробити їх доступними на комерційному ринку. Представники технологічних відділів швидко вжили заходів для вирішення ситуації, а представники уряду поінформували парламент про інцидент і підтвердили, що всі ідентифіковані списки з тих пір видалено з платформи. Відповідно до початкових розслідувань, немає жодних доказів того, що будь-які фактичні продажі даних були завершені до видалення реклами.

Це відкриття викликало негайну реакцію урядового міністерства технологій Великої Британії, яке представило членам Палати громад детальні висновки щодо масштабів і характеру витоку даних. Офіційні особи описали інформацію як «деідентифіковану», що свідчить про те, що, хоча персональні ідентифікатори, можливо, було вилучено з записів, самі дані про здоров’я залишалися дуже конфіденційними та потенційно цінними для зловмисників, зацікавлених у медичних дослідженнях, страхових шахрайствах або схемах крадіжки особистих даних.

Біобанк Великобританії — це велика дослідницька ініціатива, яка залучила сотні тисяч британських волонтерів, які надали свою генетичну інформацію, історію хвороби та дані про спосіб життя для підтримки наукових досліджень хвороб і станів здоров’я. Учасники цієї дослідницької програми біобанку надають згоду на використання їхньої інформації в законних наукових цілях із суворими теоретичними заходами захисту їх конфіденційності та забезпечення конфіденційності їхніх даних. Несанкціоноване розміщення цієї інформації на Alibaba є серйозним порушенням цієї довіри та зобов’язань щодо конфіденційності, взятих перед учасниками.

Триває розслідування того, як стався витік даних, і влада намагається визначити, чи була інформація отримана шляхом злому, крадіжки внутрішнім суб’єктом чи іншим шляхом несанкціонованого доступу. Той факт, що дані з’явилися на Alibaba, одній з найбільших у світі платформ електронної комерції, свідчить про складні знання про те, як орієнтуватися на міжнародних ринках даних і уникнути виявлення. Зрештою ці списки були помічені дослідниками та фахівцями з безпеки, які відстежують таку незаконну діяльність в Інтернеті.

Цей інцидент підкреслює зростаючу вразливість великомасштабних сховищ даних про здоров’я та зростання досвідченості кіберзлочинців, які намагаються отримати цінну особисту інформацію. Навіть добре фінансовані науково-дослідні установи зі спеціальними групами безпеки стикаються з проблемами запобігання несанкціонованому доступу до їхніх баз даних, особливо коли вони мають справу з міжнародними суб’єктами, які можуть діяти в кількох юрисдикціях, де правозастосування є складним. Це порушення підкреслює необхідність більш надійних заходів безпеки та міжнародної співпраці з питань захисту даних.

Уряд підтвердив порушення в офіційних парламентських заявах, у яких посадовці міністерства технологій детально описали свої висновки та кроки, вжиті у відповідь. Цю прозорість вітали прихильники конфіденційності та опозиційні політики, які давно висловлювали занепокоєння щодо адекватності захисту конфіденційної медичної інформації. Цей інцидент знову розпалив дискусію щодо управління даними, обов’язків організацій, які зберігають великі набори даних, і того, чи чинні норми забезпечують достатні гарантії для британських громадян.

Офіційні особи підкреслили, що після виявлення списків було вжито негайних заходів із негайною координацією між владою Великобританії та Alibaba, що призвело до видалення всіх виявлених рекламних оголошень. Однак залишаються питання щодо того, як довго дані могли бути доступними для покупки, скільки людей могли отримати доступ до списків і чи проводилися попередні переговори або часткові транзакції до видалення. Ці деталі мають вирішальне значення для розуміння повного масштабу потенційного впливу.

Цей інцидент піднімає важливі питання щодо міжнародних стандартів безпеки даних і проблем із захистом інформації британських громадян, коли до неї можуть отримати доступ іноземні суб’єкти чи організації, які діють за межами юрисдикції Великобританії. Платформи електронної комерції, розташовані в Китаї, маючи власні протоколи безпеки, можуть працювати в рамках інших нормативних рамок, ніж ті, що діють у Сполученому Королівстві, потенційно створюючи прогалини в нагляді та підзвітності. Порушення демонструє, що захист даних — це не лише внутрішня проблема, а й проблема міжнародної безпеки.

Експерти з конфіденційності в галузі охорони здоров’я висловлюють особливу стурбованість щодо такого типу розголошення особистої інформації про здоров’я, оскільки медичні записи містять деякі з найбільш конфіденційних даних про людей, зокрема генетичну схильність, діагнози та інформацію про лікування, які можуть бути використані для дискримінації чи шантажу. На відміну від фінансової інформації або контактних даних, які можна відносно легко змінювати або контролювати, інформація про здоров’я представляє постійні та незмінні особисті дані, які не можна скинути або відновити, якщо вони зламані. Довгострокові наслідки для постраждалих залишаються невизначеними.

Виявлення та видалення списків є важливим втручанням, яке, ймовірно, запобігло більш широкому доступу та розповсюдженню медичних записів. Однак експерти з кібербезпеки відзначають, що дані, доступні на загальнодоступних веб-сайтах, часто архівуються та дублюються на кількох платформах і базах даних, а це означає, що копії інформації все ще можуть існувати в різних місцях в Інтернеті. Проблема повного вилучення таких широко розповсюджених даних з обігу залишається серйозною проблемою в епоху цифрових технологій.

Організатори Biobank у Великобританії оголосили про плани провести комплексну перевірку своїх процедур безпеки даних і контролю доступу, щоб запобігти подібним інцидентам у майбутньому. Під час перевірки, ймовірно, перевірятиметься, як співробітники отримують доступ до конфіденційної інформації, чи адекватні журнали аудиту та чи можна застосувати додаткові технічні засоби захисту, такі як шифрування або обмеження доступу. Організація стикається з тиском, щоб відновити довіру громадськості до її здатності захищати дані учасників.

Цей інцидент також спровокував ширші дискусії в уряді Великобританії щодо необхідності оновити законодавство та правозастосовні механізми для подолання нових загроз кібербезпеці для систем охорони здоров’я та дослідницьких установ. Поточні нормативні акти, незважаючи на те, що вони є всеосяжними в багатьох відношеннях, можуть не відповідати швидкості та витонченості, з якою діють сучасні кіберзлочинці, або транскордонному характеру операцій з крадіжки та перепродажу даних. Політики розглядають, чи потрібні нові правові рамки чи міжнародні угоди для забезпечення кращого захисту.

Для півмільйона британських волонтерів, чиї записи було скомпрометовано, це порушення викликає законні занепокоєння щодо їх особистої безпеки та конфіденційності. Багато людей добросовісно погодилися поділитися інформацією про своє здоров’я з дослідниками, сподіваючись, що їхні дані будуть захищені та використані лише для законних наукових цілей. Той факт, що їх конфіденційну історію хвороби було запропоновано для продажу на комерційному ринку, є фундаментальною зрадою цієї згоди та довіри, незалежно від того, чи відбулися фактичні продажі чи видалено ідентифікатори з записів.