Olyan világban élünk, amelyben már szinte mindenre van egy alkalmazás. Nem kivétel ez alól az egészségügy fellendülőben lévő területe sem. A női ciklus követésétől kezdve a mentális egészségen át a tudatos jelenlétig (idegen kifejezéssel mindfulnessig) lényegében bármilyen helyzetre találunk egészségügyi (mHealth) appokat. A piac már most két számjegyű növekedést mutat, értéke 2030-ra a becslések szerint eléri majd a 861 milliárd dollárt. Az ESET kiberbiztonsági szakértői szerint érdemes azonban óvatosnak lennünk, hogy kivel osztjuk meg a legérzékenyebb adatainkat - figyelembe véve egyes egészségügyi appok aggályos adatgyűjtési szokásait.
Amikor ugyanis ezeket az alkalmazásokat használjuk, hajlamosak vagyunk a legérzékenyebb adatainkat is megosztani. A GDPR az egészségügyi információkat "különleges kategóriájú" adatoknak minősíti, ezt úgy kell értelmezni, hogy nyilvánosságra kerülve "jelentős kockázatot jelenthetnek az egyén alapvető jogaira és szabadságára nézve". Emiatt a szabályozó hatóságok extra védelemre kötelezik a szervezeteket.
Amellett tehát, hogy ezek az alkalmazások igen hasznosak, elvégre figyelik az idős emberek mozgását, és baj esetén riasztanak, monitorozzák a vízivási, sportolási és alvási szokásainkat, kontroll alatt tartják a súlyunkat, emlékeztetnek a gyógyszer bevételére, veszélyt is jelenthetnek.
Sajnálatos módon nem minden alkalmazásfejlesztő tartja szem előtt a felhasználók érdekeit, vagy nem mindig tudja, hogyan óvja meg őket. Megeshet, hogy spórolnak az adatvédelmi intézkedésekkel, vagy nem mindig teszik egyértelművé, hogy a személyes adatokból mennyit osztanak meg harmadik felekkel. Ezt szem előtt tartva ajánlott megvizsgálnunk az egészségügyi appok használatának fő adatvédelmi és biztonsági kockázatait.
Az egészségügyi alkalmazások legfőbb adatvédelmi és biztonsági kockázatai
Az ESET kiberbiztonsági szakértői szerint az mHealth-appok használatának fő veszélyei három kategóriába sorolhatók, úgymint elégtelen adatbiztonság, túlzott adatmegosztás és rosszul megfogalmazott vagy szándékosan félreérthető adatvédelmi irányelvek.
Adatbiztonsági problémák
Gyakran annak a következményei az adatbiztonsági problémák, hogy a fejlesztők nem tartják be a kiberbiztonságra vonatkozó legfontosabb szabályokat. Ezek a következők:
Már nem támogatott vagy nem frissülő alkalmazások: megeshet, hogy a gyártók nem rendelkeznek sérülékenység közzétételi irányelvvel, vagy nem érdekeltek termékeik rendszeres frissítésében. Bármi is az ok, amennyiben egy szoftver nem kap frissítéseket, az egyúttal azt is jelenti, hogy tele lehet sebezhetőségekkel, amelyekkel a támadók visszaélhetnek.
Nem biztonságos protokollok: a nem biztonságos kommunikációs protokollokat használó alkalmazások révén a hackerek megszerezhetik a felhasználók adatait akár a szolgáltató back-end vagy felhőszerveréből is, ahol azokat kezelik.
Nincs mód többtényezős hitelesítésre (MFA): a legtöbb jó hírű szolgáltató ma már MFA-t kínál a biztonság erősítésére a bejelentkezés során. Ennek hiányában a bűnözők ellophatják adatainkat, például adathalász támadás révén.
Gyenge jelszókezelés: olyan appok, amelyek lehetővé teszik a felhasználó számára a gyári alapértelmezett jelszavak megtartását, vagy nem biztonságos hitelesítő adatok beállítását, mint a "qwerty" vagy a "123456". Ennek következtében olyan támadások veszélyének tehetnek ki minket, mint az automatizált jelszavakat kihasználó credential stuffing vagy a lehetséges karakterek kombinációiból jelszó-variációkat összeállító brute force (próbálgatásos) támadások.
Vállalati biztonság: előfordulhat, hogy az alkalmazást fejlesztő vállalat saját adattárolási környezetében kevés biztonsági ellenőrzést végez, esetleg alacsony biztonságú folyamatokat alkalmaz. Ilyen hiányosság lehet a korlátozott kártevő- és végpont/hálózati észlelés, az adattitkosítás hiánya, a limitált hozzáférés-ellenőrzés, valamint a sérülékenység-kezelés és az incidensek kezelésére szolgáló folyamatok hiánya. Ezek kivétel nélkül növelik egy lehetséges adatvédelmi incidens esélyét.
Túlzott adatmegosztás
A felhasználók egészségügyi információi rendkívül érzékeny adatokat tartalmazhatnak többek között szexuális úton terjedő betegségekről, kábítószer-függőségről vagy akár más olyan egészségügyi állapotokról, amelyeket az alkalmazásüzemeltetők eladhatnak harmadik félnek, illetve megoszthatnak például hirdetőkkel, marketing és célzott hirdetések készítése céljából. A Mozilla tavaly 32 mHealth alkalmazást vizsgált meg biztonsági szempontból, az általuk felsorolt példák között találunk olyan szolgáltatókat, amelyek:
- a felhasználókra vonatkozó információkat ötvözik az adatbrókerektől, közösségi oldalakról és más szolgáltatóktól szerzett adatokkal, hogy teljesebb személyiségprofilokat állíthassanak össze,
- nem engedélyezik a felhasználóknak, hogy ebből bizonyos adatokat törölhessenek,
- olyan, a szexuális irányultságra, depresszióra, nemi identitásra és más érzékeny kérdésekre vonatkozó információkat használnak fel, amelyeket a felhasználóktól a regisztrációs kérdőívek kitöltésekor kaptak,
- engedélyezik a harmadik féltől származó munkamenet (session) sütiket, amelyek nemcsak azonosítják, de nyomon követik a felhasználókat más weboldalakon, hogy később releváns hirdetéseket jelenítsenek meg számukra,
- lehetővé teszik a munkamenet rögzítését, figyelemmel kísérve a felhasználó egérmozgásait, görgetését és gépelését is.
Nem egyértelmű adatvédelmi irányelvek
Arra is felhívják a figyelmet az ESET kutatói, hogy egyes mHealth-szolgáltatók nem tájékoztatnak világosan a felsorolt adatvédelmi gyakorlatokról, szándékosan homályosan fogalmaznak, esetleg a tevékenységet az ÁSZF apró betűs részébe rejtik, ezáltal hamis biztonságérzetbe ringatva a felhasználókat.
Hogy rendelkezik a törvény?
Európa legfontosabb adatvédelmi törvénye, a GDPR világosan fogalmaz a különleges kategóriájú személyes adatokat kezelő szervezetek tekintetében. A fejlesztőkkel szembeni elvárások közé tartozik, hogy adatvédelmi hatásvizsgálatot kell végezniük, be kell tartaniuk a törléshez való jogot és az adatok minimalizálásának elvét, emellett pedig "megfelelő technikai intézkedéseket" kell hozniuk a szükséges garanciák biztosításához a személyes adatok védelme érdekében.
Milyen lépéseket lehet tenni a személyes adatok védelméért?
Nem egyforma az emberek kockázati hajlandósága, mindenkinek más. Egyesek hajlandóak lesznek kompromisszumot kötni a személyre szabott szolgáltatások/hirdetések és az adatvédelem között. Másokat talán még az sem zavar, ha bizonyos egészségügyi adatait eladják harmadik félnek. Csupán az számít, hogy ez tudatos döntés legyen, ne pedig a felhasználó megtévesztéséről szóljon. Amennyiben mégis aggodalommal tölt el minket a helyzet, Csizmazia-Darab István, az ESET megoldásait forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint érdemes megfogadni az alábbiakat:
- Letöltés előtt nézzünk utána az alkalmazásnak. Keressünk rá, mit mondanak róla más felhasználók, és hogy találunk-e bármilyen figyelmeztető jelet az értékelések között.
- Húzzuk meg a határt, hogy mit osztunk meg ezekben az appokban, és mindig jusson eszünkbe, hogy az adataink nyilvánosságra kerülnek vagy kerülhetnek.
- Ne kössük össze az appokat közösségi fiókjainkkal, és semmiképp se használjuk bejelentkezéshez a közösségimédia-fiókunkat adataink védelme érdekében.
- Ne adjunk engedélyt az alkalmazásoknak, hogy hozzáférjenek az eszköz kamerájához, a helymeghatározáshoz vagy egyéb adatokhoz.
- Feltétlenül korlátozzuk a hirdetések nyomon követését a telefon adatvédelmi beállításaiban.
- Mindig használjunk MFA-t, ahol erre lehetőség van, ezzel párhuzamosan pedig alkalmazzunk erős, egyedi jelszavakat.
- A lehető legnagyobb biztonság érdekében tartsuk az alkalmazást mindig naprakészen.
- Legyen a telefonon internetbiztonsági védelmi megoldás, mint amilyen az ESET Mobile Security for Android.
- Ha kétségünk támad egy alkalmazással kapcsolatban, ne kockáztassunk, inkább ne is telepítsük.
Noha ezek az alkalmazások sokat segíthetnek a mindennapok során, tartsuk szem előtt, hogy az érzékeny egészségügyi adatainkat kizárólag megbízható és számonkérhető szolgáltatókra szabad rábíznunk.