Болезнь XXI века: утечки персональных данных

Болезни пациента и результаты медицинских исследований относятся к персональным данным. Вопрос их доступности должен каждый решать для себя сам. Врачебная тайна предполагает, что доктора не рассказывают о здоровье клиентов, называя их имена. Но в последнее время медицинские данные во всем мире становятся достоянием общественности. И все это — благодаря технологиям видеонаблюдения.

В 2016 году вышло исследование Ponemon Institute, посвященное конфиденциальности медицинских данных. Выяснилось, что мировые здравоохранительные организации обеспокоены из-за незащищенности мобильных устройств, на которых пользователи сохраняют медицинские карточки и скриншоты лабораторных тестов. Те пользователи, которые знают, что такое VPN, стремятся защитить приватность девайсов, но многие не придают должного значения сохранности персональных данных.

Врачи и пациенты, не следующие стандартам кибербезопасности, пользуются приложениями типа eHealth, рискуя столкнуться с утечкой персональных данных. Здоровье — больше не ваше личное дело, а информация, ставшая достоянием третьих лиц.

Кому интересна наша медицинская информация?

Маркетинговые агентства и поисковые системы предлагают нам рекламу таблеток и клиник, основываясь на диагнозах, которые мы искали в Google. Это опасно тем, что Интернет показывает не действительно эффективные средства, а те, которые хорошо проиндексировались в поисковой системе.

Кроме того, срабатывает эффект неожиданности. Например, вчера вы гуглили список лекарств от диабета, а сегодня, зайдя в электронную почту, вы видите баннерную рекламу с предложением купить чудо-средство.

В психологии есть такое понятие, как фокус внимания. Если мы ищем что-то, то везде будем видеть намеки на это явление, а наш мозг воспринимает любую картинку, ассоциирующуюся с искомым понятием, как решение проблемы. Даже если чудо-лекарство окажется подделкой.

Представим, что случится, если нашей медицинской информацией будут обладать компании без нашего ведома. Со всех сторон нас будет бомбардировать информация с предложением приобрести спасительное средство. И где гарантия, что нас не «раскручивают» на покупку очередного фейка?

Кроме того, медицинская информация необходима компаниям, которые нанимают сотрудников на работу. Фирма скорее возьмёт на работу более посредственного, но здорового сотрудника, чем кандидата с серьезными заболеваниями. Скрыть болезни не удастся, ведь стоит результатам медицинских тестов появиться в Интернете, к ним получит доступ любой желающий.

Медицинские данные в открытом доступе могут сломать карьеру и не дать талантливому волонтеру стать, например, депутатом. Словом, проблема с доступом к медицинским сведениям серьезнее, чем кажется на первый взгляд.

Кто виноват в утечке медицинских данных?

В 2016 году компания PricewaterhouseCoopers выпустила отчёт о проблемах сферы здравоохранения. На третьем месте по степени важности указана «медицина в мобильных приложениях», на четвертом — кибербезопасность медицинских технологий.

Отчет Skycure — компании, занимающейся мобильной безопасностью, — показал, что 99% врачей делятся персональными данными пациентов в мессенджерах, WhatsApp и SMS-сообщениях. Увы, лишь 14% мобильных устройств, содержащих истории болезни, защищены паролем. В то же время, участились атаки программ-вымогателей на виртуальные клиники.

В основном, утечка данных происходит через мобильные приложения. Так, в официальном издании Американской медицинской ассоциации опубликовано исследование, результаты которого обнаружили 271 приложение на Android для больных диабетом. Исследователи установили эти приложения на смартфоны, чтобы отследить, не передаются ли персональные данные третьим лицам. Через полгода учёные пришли к выводам:

• 60 приложений были удалены из Google Play в связи с нарушением политики конфиденциальности;
• 81% оставшихся приложений не имели политики приватности;
• 41 приложение с политикой приватности собирали информацию о пользователе, половина приложений делились этими данными с третьими лицами.

Лишь четыре приложения спрашивали разрешения пользователей делиться их медицинскими данными.

Виртуальная медицина: приватность на нуле

Изменилась ли ситуация с течением времени?

В 2021 году компания PwC подытожила, к каким результатам пришла цифровая медицина в связи с пандемией.

Американское законодательство предполагает, что персональные данные пациентов больше не являются собственностью клиник. Медицинскую информацию необходимо «освободить», чтобы пациенты получали сведения о лабораторных исследованиях и других медицинских тестов из мобильных приложений. Но лишь 23% американских медицинских организаций восприняли нововведение на ура. Остальные беспокоятся, что их персональные данные будут использоваться третьими лицами. Например, человек, который устраивается на работу, не хочет, чтобы будущим коллегам было что-то известно о его состоянии здоровья. Но, с «освобождением» персональных данных информация о здоровье больше не является нашим личным делом. Кто-угодно может узнать историю болезни, пробив медицинские данные пациента в приложении. И это внушает опасения.

Деперсонализация данных и пандемия

В связи с пандемией большинство учреждений в сфере здравоохранения перешло на работу онлайн. Врачи консультируют в цифровом формате, документы и истории болезней доступны в электронном виде. Появляется множество медицинских приложений, где пользователь не только получает рекомендации докторов, основываясь на информации о его самочувствии, но и фиксирует все сведения касательно своего здоровья.

На данный момент есть четыре сферы в группе риска: иммунизация, медицинские тесты, видеонаблюдение за гражданами во время пандемии и фитнес-трекеры, собирающие персональные данные.

Международное свидетельство о вакцинации сопровождает многих пациентов во время туров, с посещением докторов из других стран. Но COVID-19 заставил многие государства ввести цифровые паспорта вакцинации, которые дают возможность путешествовать свободно. Здесь осуществляется сбор медицинской информации. Есть потенциал для нарушения конфиденциальности.

Тест для определения Антигена коронавируса SARS-CoV-2 создал колоссальную инфраструктуру на тестов на наличие патогенов. А сайты с результатами тестов могут также нарушать приватность клиентов.

Например, в январе 2021 года Европейский надзорный орган по защите данных обнаружил, что сайт Европейского парламента с результатами тестов на COVID не соответствует стандартам конфиденциальности информации. Так, шесть представителей Европарламента обнаружили, что медицинские сведения (по сути, персональные данные) отправлялись в США, а cookies собирали дальнейшую информацию о человеке.

Ещё одна социальная проблема — изучение сточных вод возле домов инфицированных коронавирусом. С одной стороны, этот новый способ исследования позволяет прогнозировать вспышки COVID-19 в конкретных регионах. С другой стороны, легко представить, что вскоре эти данные, выложенные в открытый доступ в сети, станут подспорьем для нарушения гражданских прав людей. Таким образом можно будет «закрыть» целые гетто, расправиться с беженцами и осуществить расовую дискриминацию, прикрываясь борьбой за здоровье нации.

Кроме того, в связи с пандемией IP-адрес граждан становится открытым. Людей вычисляют с дронов: по специальному паролю смартфона можно получить доступ к персональным данным из наших приложений.

Анастасия Шкуро

• 32
• 30