Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Araştırmacı, firmanın hassas sağlık verilerini anket formlarından güvence altına alamadığını söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
18 Şubat 2025
Lapayı keşfeden güvenlik araştırmacının, 2 terabayt veri içeren şifrelenmemiş, pasif olmayan bir veri içeren veri içeren bir veri içerdiği iddia edildiğini iddia etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Araştırmacı, Güvenlik Hizmetleri Firması Güvenlik Discovery’den Jeremiah Fowler, maruz kalan veritabanının PDF formatında hasta anketlerini içerdiğini ve bireylerin isimlerini, doğum tarihlerini, telefon numaralarını, e -posta adreslerini, aşı durumlarını – cari olarak dahil ettiğini söyledi. ilaçlar ve diğer sağlık koşulları.
Veritabanı ve kayıtları, çok terapötik bir klinik araştırma alanları ağı olan Houston tabanlı DM Klinik Araştırmalarına ait olduklarını gösterdi. Fowler, DM Clinical Research’in veritabanını doğrudan yönetip yönetmediği veya bir üçüncü taraf yüklenici veya bulut satıcısı kullanıp kullanmadığının belirsiz olduğunu söyledi.
Veritabanı nihayet Fowler’ın DM klinik araştırmalarını bulgusu hakkında bildirmesinden sonra 24 saat içinde kamu erişiminden korundu ve kısıtlandı.
Ancak, veritabanının keşfetmeden önce ne kadar süre maruz kaldığını bilmediğini veya başka birinin de ona erişebileceğini de sözlerine ekledi. “Sadece içsel bir adli denetim ek erişim veya potansiyel olarak şüpheli etkinlik belirleyebilir.”
DM Clinical Research’in web sitesi, firmanın ülke çapında çeşitli eyaletlerde araştırma merkezlerine ve doktor uygulamalarına gömülü 30 bölgede klinik çalışmalar yürüttüğünü söylüyor. Bu, Covid-19 gibi hastalıklar için aşılar ve pediatrik hastalar, psikiyatri, nöroloji ve kadın sağlığı sorunları için terapötik tedavileri içeren araştırmaları içerir.
Maruz kalan DM klinik araştırma kayıtları tam tıbbi geçmişleri içermiyordu, ancak gönderilen hasta anket yanıtları hala hassas sağlık verilerini tanımlayan bilgiler içeriyordu.
Fowler, “Sınırlı bir örnekte, anketler kopya olmadan benzersiz görünüyordu.” Dedi. ISMG, “Ayrı bireysel anketlere kayıtlı olan veya bazı bireylerin aynı isme sahip olması mümkündür, ancak bu dosyaların% 20’sini oluştursa bile, bu potansiyel olarak etkilenen çok sayıda kişidir.”
“Anketler ve araştırmalar istatistik ve veri toplamak için önemli bir araçtır, ancak halka açık olmaması ve etkilenen bireyler için ciddi gizlilik endişelerine neden olabilecek bilgiler de içerebilir.” Dedi.
Endişeleri ihlal
Uzmanlar, bireylerin kişisel ve sağlık bilgilerinin klinik araştırma veritabanına maruz kalmasının bir dizi endişeyi artırdığını söyledi.
“En azından, bunun gibi bir olay muhtemelen ilgili devlet yasası uyarınca kişisel olarak tanımlanabilir bilgilerin ihlallerini ele alan raporlanabilir bir ihlal olarak nitelendirilecek ve korunan sağlık bilgilerinin PII’nin bir alt kümesi olduğunu hatırlamamız gerekir.” Dedi. TW-Security’de Gizlilik ve Güvenlik Danışmanı.
Yetkili, uygulanacak devlet yasasının, şirketin değil, araştırma konusunun ikamet ettiği duruma dayandığını söyledi. “50 eyaletin hepsinin bu yasaları var ve eyaletlerin 19’unda da ek raporlama gereksinimleri ve olası para cezalarına sahip olabilecek ‘kapsamlı tüketici veri gizliliği yasalarına’ sahip.” Dedi.
HIPAA ihlali bildirim kuralı kapsamında maruz kalmanın, klinik araştırma firmasının HIPAA kapsamında kapsamlı bir varlık olup olmadığına bağlı olacağını söyledi. Bununla birlikte, çoğu durumda, klinik araştırma şirketleri, bu araştırma için üçüncü taraf geri ödeme almak için HIPAA standart elektronik işlemlerini kullanmadıkları için kuruluşları kapsıyorlar.
“Anladığım kadarıyla, çalışmaları tamamen farmasötik üreticiler tarafından ödeniyor. Üreticilerle yapılan sözleşmelerinin bu hassas verileri yeterince korumak için katı cezaları olabilir.”
HIPAA ile ilgili soruların yanı sıra, DM klinik araştırmaları yeni ilaçlar ve tedaviler için klinik araştırmalarda yer aldığından, şirket de potansiyel olarak başlık 21cfr bölüm 11’e göre koştu, “klinik testler için gerekli kontrolleri belirleyen” dedi. Güvenlik firması Lumifi Cyber.
DM Clinical Research’in kayıtlarını içeren maruziyet, Fowler’ın hassas bir sağlık ve web’deki diğer kişisel bilgileri sızdıran teminatsız veritabanlarını ilk kez keşfetmemesidir.
Geçen sonbaharda Fowler, bir sanal akıl sağlığı sağlayıcısı olan Sivil Health’in teminatsız bir veritabanını bulduğunu ve web’de binlerce hasta kaydı açığa çıkardığı iddia edildi (bakınız: Zihinsel Sağlık Kayıtları Veritabanı Web’de maruz kaldı).
Peki, diğer kuruluşlar internete maruz kalan veritabanlarını içeren benzer güvenlik aksiliklerinden kaçınmak için ne yapabilir?
TW-Security ortağı ve ana danışmanı Wendell Bobst, “Veritabanlarında genellikle daha sıkı güvenlik önlemleri ve korumaları var.” Dedi.
Kuruluşlar, veritabanlarını tespit etmek ve korumak için en az üç strateji kullanabilir. “İlk olarak, modern güvenlik açığı tarama araçlarıyla, özellikle internete maruz kalanlar, açık veritabanları kolayca tanımlanabilir ve takip için işaretlenebilir.” Dedi.
İkincisi, kullanıcı erişimi sağlama sırasında, veritabanına erişmek için bir VPN’nin gerekli olup olmadığını sormak önemlidir. “Değilse, bunun net bir nedeni olmalı.”
Son olarak, iyi kurulmuş kuruluşların veri hassasiyet seviyelerini belirleyen envanterler ve erişim prosedürleri de dahil olmak üzere veri ve uygulama yönetişim uygulamalarına sahip olması gerektiğini söyledi.
Hamilton, “Bulut güvenlik duruş yönetimi gibi hizmetler, maruz kalan veritabanlarının tanımlanması için yararlıdır ve kuruluşun kendisi tarafından yürütülmezse sözleşmeli olmalıdır.” “Bulut veri depolama, her yerden erişilebileceği ve tehlikeli olduğu için yararlıdır, çünkü her yerden erişilebilir.”
“Erişim kontrolünün uygulanması zor olabilir ve geliştirme sürecine ekstra bir karmaşıklık katmanı ekler” dedi.
“Kısacası, kuruluşlar, erişim kontrolünün depolanan ve sürekli yönetilen bilgilerin değeri ile uygun ve orantılı olduğundan emin olmak için kontrol listeleri gibi araçları kullanmıyorlar, ne ölçüde güvenlik duruş yönetimini kullanmıyorlar.” söz konusu.
Fowler, en son keşfinden paketinin çok sık, birçok kuruluşun hala verilerini şifrelemesi veya şifre korumadığını söyledi.
Fowler, “Bir sağlık kuruluşu çeşitli teknoloji hizmetleri için üçüncü taraf satıcıları kullanıyorsa, kuruluşun güvenlik standartlarını karşıladıklarından emin olmak için bu ortakların güvenlik uygulamalarını değerlendirmek ve izlemek önemlidir.” Dedi.
DM klinik araştırması, ISMG’nin Fowler’ın bulguları hakkında yorum talebine hemen cevap vermedi.