Wordt 2015 het jaar van de ziekenhuis hacker?

Toen begin 2014 in de VS de verplichte ziekteverzekering (aka Obamacare) werd ingevoerd, werden alle ziekenhuizen verplicht om al hun medische dossiers om te zetten in elektronische bestanden. Het gevolg is een massa extreem gevoelige persoonsgegevens die – zo is al gebleken – in sommige gevallen nauwelijks of slecht beveiligd zijn. Het verleidt de MIT Technology Review nu tot de voorspelling dat 2015 wel eens “the year of the Hospital Hack” zou kunnen worden.

“Along with vast troves of credit card information and celebrity snapshots, hackers stole a record number of medical records from U.S. health-care facilities this year. In 2015, attacks targeting health data will become even more common, according to security researchers … The cause of the uptick isn’t hard to diagnose. Medical organizations across the world are switching to electronic medical records, and computer security is not always a high enough priority during the process. Besides that, easy and fast access to medical information often trumps security.

Medical records often contain both identification information, such as Social Security numbers, and financial information. This can be enough to build a near-complete picture of an individual. And such information can command hundreds of dollars from black-market customers wanting to impersonate someone for the purpose of accessing bank accounts or drug prescriptions.”

Ter illustratie slechts één voorbeeld uit een lange rij. In augustus 2014 werd het Amerikaanse ziekenhuisnetwerk Community Health Systems gehackt. Daarbij werden data van niet minder dan 4,5 miljoen patiënten gestolen, allemaal mensen die in de laatste vijf jaar bij CHS waren behandeld. Beveiligingsexperts wezen er toen ook al op dat dergelijke medische dossiers veel geld waard zijn. Patiëntendossiers zouden ondertussen op de zwarte markt al tien keer meer waard zijn dan kredietkaart gegevens. John Halamka bij ComputerworldUK:

“Voor de juiste klant kan een medisch dossier tussen de 50 en 250 dollar waard zijn. Dat is stukken meer dan wat er voor kredietkaartnummers wordt betaald of voor een gebruikersnamen en wachtwoorden. Wie een harttransplantatie nodig heeft die miljoenen dollars kost, kan voor 250 dollar een compleet medisch dossier inclusief verzekering bemachtigen.”

Een paar maand eerder had BitSight Technologies ook al gewaarschuwd dat gezondheidsbedrijven en –instellingen het qua cyberveiligheid erg pover doen, vergeleken met bedrijven uit andere sectoren. Die vele waarschuwingen hebben blijkbaar nog steeds weinig effect gehad, waardoor de voorspelling in MIT Review voor 2015 wel eens akelig dicht bij de waarheid zou kunnen liggen.