Kronikk

Dine helsedata er hackernes favoritt

Dine finansdata er som regel verdiløse den dagen du oppdager at du er blitt svindlet. Men helsedata har evig liv.

BRITAIN-POLITICS-VOTE-HEALTH

Hackere er mer interesserte i dine helsedata enn finansdata, skriver Erik Nord og Jørn Bremtun.

Foto: OLI SCARFF / Afp

Var tyveriet av helsedata fra Helse Sør-Øst et enkeltstående tilfelle, eller er det en del av en internasjonal trend?

En global oversikt fra sikkerhetsfirmaet Gemalto viser at helsedata nå er blitt det mest attraktive målet for hacking og cyberangrep.

Hackere kan stjele informasjon som handler om alt fra din p-pillebruk, informasjon om bestefars leddgikt, bestemors grønne stær og opplysninger om eventuelle nevroser.

Deretter kan informasjonen selges for oppfølging fra telefonselgere fra ulike pille- og helsekostprodusenter. I tillegg kan etterretningsorganisasjoner skaffe seg detaljert oversikt over sensitive helsedata om enkeltpersoner, som kan utnyttes til utpressing eller ved en eventuell væpnet konflikt.

Verdifull informasjon

Hva er årsaken til at helsedata er i skuddet hos hackere og datakriminelle? Hvorfor skulle noen ønske å tilegne seg helsedataene om et par millioner norske barn, kvinner og menn hos Helse Sør-Øst?

Årsaken er trolig at dataene er svært verdifulle, både for kriminelle og for nasjonale etterretningsaktører. I tillegg har sikkerhetsnivået i Norge, og internasjonalt, ikke har vært på topp.

Dine helsedata kan ha tilnærmet evig liv.

Opplysningene fra helseregistre omfatter personnummer, adresse, e-postadresse, telefonnummer, diagnose, behandlingsoversikt, oversikt over medikamentbruk og hvem som er pårørende.

Hos forsikringsselskapene kommer i tillegg privat kontoinformasjon, informasjon om utbetaling av erstatning og informasjon om krav som er til behandling.

Det er grunn til å spørre om helseinstitusjoner og de som tilbyr helseforsikring har vært klar over verdien av dataene de forvalter. Videre bør man spørre om de er godt nok forberedt til å håndtere det økte trusselnivået i fremtiden.

Verre enn finansdata

Samlet sett inneholder helseregistrene og oversiktene til forsikringsselskapene mye mer informasjon enn det som fremkommer hos banker og kredittkortselskaper. Dataene har trolig også lenger levetid.

Dine finansdata er som regel verdiløse den dagen du oppdager at du er blitt svindlet. Da blir kredittkortet sperret eller kontoen avviklet. Dine helsedata derimot kan ha tilnærmet evig liv. Helsedataene kan brukes til å lage falsk ID, forsikrings- og trygdesvindel og til rene etterretningsformål.

Dataene blir også solgt via det svarte nettet, og kan bli benyttet til markedsføring av et utall medikamenter og kosttilskudd med tvilsom medisinsk effekt.

Det er sannsynlig at flere tilsvarende datainnbrudd vil bli oppdaget i tiden fremover.

Hackernes økte fokus på dine og mine helsedata framkommer i en halvårlig global datainnbruddsindeks. Ifølge indeksen ble mer enn 4,5 milliarder data kompromittert i løpet av de seks første månedene i år. Det tilsvarer 291 data i gjennomsnitt hvert sekund.

Hele 27 prosent av datainnbruddene var rettet mot helseinstitusjoner, eller de selskapene som betaler for helsehjelp. Helsedata utkonkurrerte både angrep mot finansinstitusjoner og varehandel som hackernes angrepsmål nummer en.

Økt sikkerhet

I USA ble det nylig oppdaget datainnbrudd hos helseforsikringskonseptet Excellus Blue Cross Blue Shield. Som følge av datainnbruddet kan personlig helseinformasjon om 10 millioner enkeltpersoner være på avveie.

Tilsvarende innbrudd er også registret flere steder i USA og i Europa de senere årene. Noen av innbruddene har skjedd flere år tilbake i tid, men først blitt oppdaget nå som følge av en grundig gjennomgang av datasikkerheten.

Ifølge sikkerhetseksperter er det sannsynlig at flere tilsvarende datainnbrudd blir oppdaget i tiden fremover.

Dataene blir solgt via det svarte nettet, og kan bli benyttet til markedsføring av medikamenter.

De mange innbruddene vil blant annet få flere helseinstitusjoner og de som betaler for helsebehandling til å foreta en grundigere sjekk av sin egen IKT-infrastruktur.

Hackernes økte fokus på helsedata bør også få helsemyndighetene til å sette klarere regler for hvordan dine og mine helsedata oppbevares. I tillegg bør de gjennomføre hyppigere kontroller med sykehus og andre helseinstitusjoner.