Фото: Thinkstock |
Бреши в данных медицинских систем могут не только обойтись очень дорого, но и нести в себе угрозу жизни. При этом традиционные средства, применяемые в кредитном мониторинге, не обеспечивают достаточной защиты.
«Использование метода кредитного мониторинга в поисках брешей в идентификационных данных (неважно, медицинских или нет) напоминает попытки укрыться зонтиком от урагана, – отметил директор компании ThreatMetrix по продуктам Алисдейр Фолкнер. – Если бы я был преступником, я мог бы попытаться получить кредитную карту с лимитом в несколько тысяч долларов или использовать ваш идентификатор при выставлении счетов, превышающих несколько сотен или тысяч долларов. Сколько можно мириться с банкротствами из-за медицинских процедур, которыми люди не пользовались, и с неправомерными вызовами скорой помощи врачами из-за ошибок в истории болезни?»
Согласно исследованию Ponemon, проведенному в 2013 году, жертвами кражи медицинских идентификационных сведений стали 1,8 млн американцев и их ближайших родственников. При этом 36% из них были выставлены счета, которые просто нечем было закрывать.
Некоторым пришлось в полном объеме оплачивать стоимость лекарств и медицинских услуг, потому что срок их медицинской страховки истек. Другие вынуждены были расплачиваться за лечение, которое получали мошенники. Средняя сумма счета при этом составила 18,66 тыс. долл.
Но это еще не самое худшее, что могло произойти.
«Если кто-то будет иметь доступ к вашему медицинскому идентификатору и использует его для получения медицинских товаров, услуг и рецептов, вся соответствующая информация окажется в вашей личной медицинской карте», – отметил Боб Грег, генеральный директор компании ID Experts, предоставляющей услуги мониторинга идентификации в медицинских системах.
В следующий раз, когда вы попадете в отделение неотложной медицинской помощи, доктор просто не увидит вашу историю болезни. Все будет перемешано с информацией, поступившей от мошенников.
«Неожиданно для всех записи, внесенные туда ранее, окажутся неверными, – пояснил Грег. – Аллергия, реакция на те или иные лекарства и т. д.».
Консультант Клаудиа Гиэр оказалась в числе тех 80 млн пациентов, которых затронула недавняя брешь в системе Anthem. Узнав об этом, она испугалась и почувствовала себя незащищенной.
«Когда мне понадобилась срочная медицинская помощь, я поняла, что моя учетная запись закрыта из-за неоплаты или по каким-то другим причинам… Сначала я подумала, что выставленные счета можно оспорить, – вспоминала она. – Однако, узнав, что на выяснение всех обстоятельств может уйти до трех месяцев, я предложила оплатить лечение из своих личных средств. Для многих такая ситуация может превратиться в нечто большее, чем просто неудобство. Возможна и угроза жизни».
По свидетельству компании Anthem, в украденной информации находились имена пациентов, даты их рождения, членские идентификаторы и номера карточек социального страхования, адреса, номера телефонов, адреса электронной почты и информация о месте работы.
«Эти данные определенно можно использовать для мошенничества со счетами», – указал практикующий специалист Coalfire Labs Эндрю Хикс.
На самом деле медицинская идентификационная информация представляет собой гораздо более высокую ценность по сравнению с номерами кредитных карт и номерами карточек социального страхования. По данным World Privacy Forum, она стоит на черном рынке около 50 долл. против примерно 1 долл. за сведения о номерах кредитных карт и карточек социального страхования.
Средняя прибыль на одну медицинскую карточку оценивается в 20 тыс. долл. по сравнению с 2 тыс. долл. за кражу типичной идентификационной информации.
«В общем случае стоимость украденных медицинских данных на порядок превышает стоимость скомпрометированных платежных карт», – отметил руководитель направления кражи интеллектуальной собственности компании PhishLabs Дон Джексон.
По данным EMC, одна из причин роста киберпреступности в сфере здравоохранения заключается в том, что на обнаружение мошенничества здесь уходит в два раза больше времени, а исправить ситуацию оказывается значительно сложнее.
Банковские счета легко можно закрыть, а кредитные карты перевыпустить, но скорректировать медицинские карты гораздо труднее.
На форуме World Privacy Forum приведен перечень советов потребителям, включающий регулярные запросы на предоставление выписок по страховым счетам, написание заявлений в полицию при обнаружении мошеннических счетов и принятие необходимых мер для исправления карт при обнаружении расхождений. Вместе с тем в организациях признают, что осуществить все эти меры довольно сложно, – отделение полиции, например, даже не примет заявление о преступлении, совершенном вне зоны своей юрисдикции.
Многие страховые компании не осуществляют мониторинга, проводимого для кредитных карт, а значит, выявление подозрительных действий при совершении мошеннических транзакций здесь весьма затруднено.
По словам Грега, преступники могут воспользоваться сложившейся ситуацией тремя способами.
При классической краже медицинских идентификационных сведений мошенники распечатывают фальшивые идентификаторы и получают медицинскую помощь за бесценок.
Прибыль мошенников растет, когда они связываются с недобросовестной клиникой, которая выставляет вашей страховой компании счета за услуги и лечение, которых вы никогда не получали.
«Это примерно то же самое, что иметь кредитную карту с ограничением потраченных средств, которые обычно измеряются миллионами долларов», – пояснил Грег.
И наконец, ваша медицинская информация может быть использована для заказа по рецепту лекарств, которые затем могут быть перепроданы значительно дороже.
В роли продавцов здесь обычно выступают электронные аптеки.
Их не волнует точность самого рецепта – главное, чтобы финансовая информация была корректной.
Обычные сервисы кредитного мониторинга тут не помогут.
Документ может быть представлен, например, в виде прошлогоднего счета больницы, который до сих пор не оплачен.
Компания ID Experts одной из первых предложила услуги мониторинга идентификации в медицинских системах с предупреждением владельцев аккаунтов о любых выставленных им счетах и возможностью тут же их оспорить.
В настоящее время сервис используется страховой компанией Moda Health, еще в двух организациях проект находится на стадии опытной эксплуатации.
Индивидуальным потребителям сервис недоступен.
«Для эффективного функционирования нужно, чтобы заявленные данные поступали от плательщика, – пояснил Грег. – Мы пытаемся предлагать какие-то решения через другие системы, но на данном этапе не можем похвастаться здесь какими-либо успехами».