Speciale aanbieding: medische dossiers voor minder dan 3 cent te koop. Komt dat zien, komt dat zien! twittert Brenno de Winter naar aanleiding van een artikel op de site van Help Net Security, een onafhankelijk, in 1998 gestarte site voor informatiebeveiliging en uitgever van het kwartaaltijdschrift (In)secure Magazine. De Winter is onderzoeksjournalist met specialisatie in IT-beveiliging en privacy. Zijn website Bigwobber deelt kennis over (aanvragen van) overheidsinformatie en de Wet Openbaarheid van Bestuur (WOB).

De internationale markt voor handel in medische gegevens van patiënten groeit. “In een sector waarin persoonlijke gegevens bovenaan de lijst staan, kan het verlies aan vertrouwen rampzalig uitwerken op ontwikkelingen en toekomstmogelijkheden”, aldus Raj Samani, technisch directeur voor Europa, het Midden-Oosten en Afrika van het Amerikaanse bedrijf Intel Security dat computers en computernetwerken beveiligt. Verlies aan vertrouwen berokkent schade aan zowel personen als aan organisaties en kost veel geld.
Intel Security heeft ontdekt dat de prijs voor gestolen medische dossiers lager is dan financiële dossiers of dossiers over consumentengedrag, ondanks de soms beperkte houdbaarheid van deze gegevens.
De cybercriminele gemeenschap lijkt vast van plan zich te richten op medische gegevens vanwege de voordelen ten opzichte van financieel/economische gegevens. De zg. protected health information (PHI) verandert nauwelijks en is dus langer houdbaar, c.q.beter verhandelbaar.

Deze ‘niet-bederfelijke’ PHI bevat o.m. een achternaam, een meisjenaam van de moeder, een burgerservicenummer, een polisnummer, gegevens over betalingsverkeer, adressen en de ziektegeschiedenis van de patiënt. En hoewel deze kennis heeft geleid tot speculaties over stijgende prijzen voor medische dossiers, in vergelijking met die van financiële rekeningen en betaalkaarten is er van stijgende prijzen in 2016 geen sprake. Dat heeft een onderzoek van Inter Security uitgewezen. De waarde van financiële gegevens per dossier bedraagt tussen de 14 en 25 Amerikaanse dollar. Creditcards en bankpassen doen tussen de 4 en 5 dollar en voor medische gegevens zijn bedragen betaald van 3 dollarcent tot 2.42 dollar.

Digitale bedrijfsspionage

Bankrekeningnummers en financiële gegevens zijn makkelijker verhandelbaar dan persoonlijke medische gegevens. In medische dossiers moet worden geïnvesteerd, bij financiële dossiers niet. Als criminelen medische dossiers stelen uit de cache, dan moeten ze de gegevens analyseren en ze waarschijnlijk vergelijken met gegevens uit andere bronnen voor de diefstal tot financieel gewin leidt. “Liquiditeit ïs belangrijker dan duurzaamheid in de race naar het te gelde maken van gestolen gegevens”, zegt Rau Samani: “Als ik een miljoen nummers van creditcards- of bankpassen steel, kan ik deze digitale waar verkopen voordat banken en bedrijven de diefstal ontdekken en de nummers blokkeren. Aan de andere kant bevatten een miljoen medische gegevens duurzame PHI en persoonlijke geschiedenissen, maar voor zulke gegevens moet meer geïnvesteerd worden qua tijd en middelen om ze te benutten en te gelde te maken”.

Onderzocht zijn ook biotechnologische en farmaceutische firma’s wat betreft hun intellectuele eigendom en vertrouwelijke bedrijfsinformatie. De onderzoekers van Intel Security wijzen erop dat de economische waarde van zulke informatie aanzienlijk hoger is dan die van medische dossiers van patiënten.
Ze vonden bewijs dat de samenstelling van nieuwe geneesmiddelen en de resultaten van medicijnproeven en andere vertrouwelijke bedrijfsinformatie van veel waarde zijn. De bestanden met dergelijke gegevens bij biofarmaceutische bedrijven, hun partners en zelfs van de overheid die het op de markt brengen van nieuwe geneesmiddelen begeleidt, zijn een begerenswaardig doelwit van cybercriminelen geworden.
Samani: “Bedrijfsspionage gebeurt digitaal, net zoals bij vele andere dingen in onze wereld. Als je beseft dat onderzoek en ontwikkeling in deze sectoren heel veel geld kosten, dan hoeven we ons niet te verbazen dat cybercriminelen aangetrokken worden tot het profijt van datadiefstal op dit terrein van de gezondheidszorg”.

Cybercrime als dienstverlening

Er is ook bezig zich een markt te ontwikkelen voor dienstverlenende cybermisdaad die aanvallen op gezondheidszorgorganisaties mogelijk maakt. Er worden zg. exploits kits verkocht of verhuurd, programma’s die gebreken en zwakheden in software opsporen en gebruikt worden om toegang te krijgen tot een systeem of netwerk. Er is een geval bekend waarbij een niet erg technisch aangelegde cyberdief middelen kocht om bij een kwetsbare organisatie in te breken. Hij profiteerde van gratis technische ondersteuning om zijn aanval te kunnen lanceren en slaagde erin meer dan duizend medische dossiers buit te maken. De service-provider liet hem weten dat hij daarmee $15.564 zou kunnen verdienen.

Cybercriminelen gebruiken ook online advertenties en sociale media om insiders te benaderen en zo toegang te krijgen tot waardevolle informatie. “Als een goed geëquipeerde gemeenschap van cybercriminelen de aanval inzet op een minder voorbereide sector zoals de gezondheidszorg, dan neigen organisaties binnen die sector ertoe zich te beschermen tegen de gevaren van gisteren en niet tegen die van vandaag en morgen”, vervolgt Samani: “Om de cybercriminelen te slim af te zijn is het nodig dat we de oude denkstructuren achter ons laten en toewerken naar een radicaal nieuwe manier van denken”.

Het parool is de cybercriminelen voor te blijven en verouderde draaiboeken in de prullenmand te deponeren. De cyberverdediging is tot dusver overal onderschat en moet in deze tijd bovenaan de lijst van prioriteiten komen te staan. Daar kan geld mee worden verdiend, en vertrouwen.

Stolen medical records available for sale from $0.03 per record, door Help Net Security, 27 oktober 2016: www.helpnetsecurity.com

How much is your privacy worth? door Raj Samani, Help Net Security, 7 oktober 2016: www.helpnetsecurity.com

(In)secure magazine no 51, september 2016: www.helpnetsecurity.com/NSECURE-Mag-51.pdf

Bigwobber: wie vraag krijgt meer: http://bigwobber.nl (website bestaat niet meer)