Aplikacje zdrowotne. Mają dbać o nasze zdrowie, ale czy dbają też o bezpieczeństwo naszych danych?

01/05/2024

Smartfon wyświetlający aplikację zdrowotną z ikonami i wykresami statystyk zdrowotnych na futurystycznym cyfrowym tle z liniami pulsu.

Kolejne wycieki danych medycznych stawiają pod znakiem zapytania bezpieczeństwo korzystania z aplikacji monitorujących zdrowie oraz nasz dobrostan. Choć cyfrowe narzędzia stają się (lub dla wielu – już są) nieodłączną częścią życia, specjaliści alarmują, że nie wszystkie z nich dbają o nasze dane w wystarczający sposób. W świecie, gdzie informacje o naszym zdrowiu stają się coraz cenniejsze, ważne jest, abyśmy mieli pełną kontrolę nad ich udostępnianiem. Dochodzące do głosu obawy zmuszają do zastanowienia się nad sposobami ochrony danych medycznych w erze mobilnych aplikacji zdrowotnych.

Spis treści

Fot. obraz wygenerowany za pomocą DALLE-3

Cyberbezpieczeństwo a aplikacje zdrowotne

Według szacunków rynek aplikacji zdrowotnych ma osiągnąć globalną wartość 861 miliardów dolarów do 2030 roku. A to oznacza, że potrzebne jest dodatkowe finansowanie na cyberbezpieczeństwo i konieczność ustalenia regulacji prawnych w kontekście wykorzystywania i gromadzenia danych zdrowotnych pacjentów.

Cyberbezpieczeństwo w kontekście zdrowia

Cyberbezpieczeństwo w kontekście zdrowia jest kluczowym aspektem, który obejmuje szeroki zakres praktyk, technologii i procedur mających na celu ochronę danych medycznych oraz infrastruktury z nimi związanej przed atakami cybernetycznymi, nieautoryzowanym dostępem i innymi zagrożeniami związanymi z bezpieczeństwem informacji. Obejmuje to zarówno ochronę danych pacjentów zgromadzonych w elektronicznych systemach medycznych, jak i zapewnienie bezpieczeństwa urządzeń medycznych, sieci szpitalnych i innych systemów związanych ze zdrowiem publicznym.

Film omawiający, w jaki sposób działa cyberbezpieczeństwo w medycynie oraz o regulacjach prawnych.

Cyberbezpieczeństwo jest szczególnie ważne ze względu na wrażliwość informacji medycznych, które mogą zawierać dane osobowe pacjentów, historie medyczne, wyniki badań, diagnozy oraz inne poufne informacje. W przypadku naruszenia bezpieczeństwa tych danych pacjenci mogą być narażeni na szereg poważnych konsekwencji, w tym kradzież tożsamości, szantaż, a nawet zagrożenie dla ich zdrowia i życia.

W praktyce cyberbezpieczeństwo w obszarze zdrowia obejmuje środki takie jak wdrażanie silnych mechanizmów uwierzytelniania i autoryzacji, szyfrowanie danych medycznych, monitorowanie i wykrywanie nietypowych aktywności w systemach informatycznych oraz regularne przeprowadzanie audytów bezpieczeństwa. Ponadto edukacja personelu medycznego i pacjentów w zakresie praktyk bezpieczeństwa informacji odgrywa kluczową rolę w zapobieganiu incydentom związanym z bezpieczeństwem cybernetycznym.

Co motywuje cyberprzestępców?

O tym, że cyberbezpieczeństwo w szpitalach i placówkach medycznych leży i kwiczy, pisaliśmy na początku 2024 roku. Od długiego już czasu przestępcy nie potrzebują broni wycelowanej w głowę swojej ofiary. Mogą zrobić krzywdę drugiemu człowiekowi, nie wychodząc nawet z domu.

Według zeszłorocznego raportu opublikowanego przez Europejską Agencję ds. Cyberbezpieczeństwa (skrót. ENISA) na początku lipca 2023 roku aż 83% ataków na sektor ochrony zdrowia w Europie było motywowanych zyskiem. Analiza sektora zdrowia na rynku europejskim została przeprowadzona ze względu na jego kluczowe znaczenie dla obywateli i potencjalne zagrożenia związane z atakami cybernetycznymi.

Raport wykazał również, że 10% wszystkich akcji przeprowadzonych przez hakerów miało charakter ideologiczny. Pojęcie to obejmuje działania związane z haktywizmem oraz ataki skierowane w celu realizacji określonych deklaracji ideologicznych. Natomiast akty szpiegostwa, których celem było pozyskiwanie poufnych informacji, stanowiły zaledwie 1% wszystkich ataków na sektor zdrowia.

Fot. obraz wygenerowany za pomocą DALLE-3

Pozostałe 6% ataków zostało sklasyfikowanych jako incydenty niecelowe lub ich motywacje pozostały nieznane. Jest to odkrycie, które sugeruje, że istnieje ciągła potrzeba dalszych badań i analiz w celu zrozumienia pełnego spektrum zagrożeń dla bezpieczeństwa cybernetycznego w sektorze zdrowia.

Raport ENISA podkreśla dominujący motyw zysku jako główną przyczynę ataków cybernetycznych na sektor zdrowia w Europie. Jednocześnie wskazuje on na istnienie innych motywacji, takich jak ideologia czy szpiegostwo, które również stanowią poważne zagrożenia dla infrastruktury ochrony zdrowia. Dalsze działania w zakresie zapobiegania i reagowania na te zagrożenia są kluczowe dla zapewnienia bezpieczeństwa danych medycznych oraz integralności systemów informatycznych w sektorze zdrowia. Cyberbezpieczeństwo jest więc bardzo potrzebne.

Czy aplikacje zdrowotne są naprawdę niezbędne?

Mobilne aplikacje zdrowotne wkraczają coraz pewniej na światowe rynki, stanowiąc coraz częściej nieodłączny element współczesnej opieki zdrowotnej. Oferują użytkownikom szeroki zakres narzędzi do monitorowania i zarządzania zdrowiem oraz dobrostanem. Te innowacyjne aplikacje obejmują różnorodne funkcje, takie jak monitorowanie snu, cyklu miesiączkowego, zdrowia psychicznego, aktywności fizycznej oraz dietetycznych nawyków. Dzięki nim użytkownicy mogą śledzić swoje postępy, otrzymywać przypomnienia o zażywaniu leków oraz zdobywać wiedzę na temat zdrowego stylu życia.

Fot. jes2uphoto / Depositphotos

Mogą być też pomocne osobom, które chorują przewlekle, ograniczając znacznie wizyty lekarskie (w tym dojazdy do placówek medycznych), a pozwalając na kontrolowanie swojego stanu zdrowia dzięki wprowadzanym danym. Pozwala to również lekarzowi na zdalne kontrolowanie pacjenta i jego stanu zdrowia. Coraz częściej w tym kontekście mówi się o „umedycznieniu” smartfonu.

Pomimo ich potencjalnych korzyści, istnieją także obawy dotyczące bezpieczeństwa danych, ponieważ niektóre z tych aplikacji mogą gromadzić i przetwarzać wrażliwe informacje zdrowotne użytkowników. W związku z tym twórcy aplikacji muszą zapewniać odpowiednie środki bezpieczeństwa i przestrzegać przepisów dotyczących ochrony danych osobowych, aby chronić prywatność i bezpieczeństwo użytkowników.

Wycieki danych medycznych

Kolejne doniesienia o wyciekach danych medycznych odbijają się donośnym echem w społeczeństwie, podważając zaufanie do systemów zarządzania informacjami zdrowotnymi. W ostatnich latach, incydenty naruszenia prywatności medycznej, podczas których wrażliwe dane pacjentów trafiały w niepowołane ręce, stały się niepokojąco częste.

Ta tendencja wywołuje uzasadnione obawy wśród społeczeństwa, dotykając tematów fundamentalnych dla każdego z nas: prywatności, bezpieczeństwa i zaufania wobec systemów opieki zdrowotnej. W tym kontekście mobilne aplikacje zdrowotne, stając się coraz powszechniejszym narzędziem zarządzania zdrowiem, nabierają szczególnego znaczenia. Od monitorowania codziennych nawyków żywieniowych po śledzenie wyników badań medycznych, te aplikacje wpływają na sposób, w jaki współczesne społeczeństwo angażuje się w dbanie o swoje zdrowie. Wraz z ich rosnącą popularnością, nasila się także ryzyko związane z brakiem odpowiedniej ochrony danych, co staje się potencjalnym zagrożeniem dla użytkowników.

Fot. Nothing Ahead / Pexels.com

Zagrożenia związane z bezpieczeństwem danych

Jednym z istotnych zagrożeń dla bezpieczeństwa danych użytkowników mobilnych aplikacji zdrowotnych jest brak regularnego wsparcia lub aktualizacji oprogramowania. Aplikacje, które nie otrzymują regularnych poprawek i aktualizacji, stają się podatne na wykorzystanie luk w zabezpieczeniach, co zwiększa ryzyko nieautoryzowanego dostępu do danych użytkowników oraz potencjalne naruszenie prywatności medycznej.

Kolejnym poważnym zagrożeniem jest stosowanie niezabezpieczonych protokołów komunikacyjnych przez aplikacje zdrowotne. W przypadku korzystania z niezabezpieczonych połączeń internetowych istnieje ryzyko przechwycenia danych pacjentów przez cyberprzestępców. Dane przesyłane przez niezabezpieczone kanały komunikacyjne mogą zostać wykradzione i wykorzystane w sposób niezgodny z intencjami użytkowników, co stwarza realne zagrożenie dla prywatności oraz poufności informacji medycznych.

Niedostateczne zabezpieczenia w postaci braku uwierzytelniania wieloskładnikowego oraz słabego zarządzania hasłami stanowią kolejne zagrożenie dla bezpieczeństwa danych w aplikacjach zdrowotnych.

Fot. Spectral / Depositphotos

Brak uwierzytelniania wieloskładnikowego ułatwia hakerom uzyskanie dostępu do kont użytkowników poprzez ataki typu phishing lub wykorzystanie słabych haseł. Ponadto, gdy aplikacje pozwalają użytkownikom zachować proste lub domyślne hasła, istnieje ryzyko łatwego złamania takiego zabezpieczenia, co umożliwia nieuprawniony dostęp do danych medycznych. Niektóre aplikacje zdrowotne pozwalają nowym użytkownikom zachować hasła fabryczne lub ustawić proste hasło typu „11111”. Jak coś, hasło, które prezentuje się tak: imiędataurodzenia, też nie jest najlepszym wyborem.

Ostatecznie, błędy w zarządzaniu procesami bezpieczeństwa przez dostawców aplikacji mogą narazić użytkowników na ryzyko naruszenia ich prywatności i bezpieczeństwa. Jeśli firma odpowiedzialna za aplikację nie stosuje odpowiednich procedur bezpieczeństwa lub nie przeprowadza regularnych audytów w celu identyfikacji potencjalnych luk w zabezpieczeniach, istnieje ryzyko wystąpienia incydentów bezpieczeństwa, które mogą prowadzić do wycieku danych medycznych użytkowników.

Dlatego też, ważne jest, aby dostawcy aplikacji zdrowotnych stosowali się do najlepszych praktyk w zakresie bezpieczeństwa informacji oraz regularnie aktualizowali swoje procedury w celu minimalizacji ryzyka dla użytkowników.

Nadmierne udostępnianie danych

Jednym z głównych zagrożeń związanych z nadmiernym udostępnianiem danych w aplikacjach zdrowotnych jest ryzyko dotyczące poufności i prywatności informacji pacjentów. Wielu użytkowników może nie zdawać sobie sprawy z tego, że aplikacje zdrowotne często przekazują zgromadzone dane o zdrowiu i stylu życia użytkowników stronom trzecim, takim jak reklamodawcy czy firmy badawcze. W rezultacie, wrażliwe informacje, takie jak wyniki badań medycznych, historie chorób czy nawyki żywieniowe, mogą być narażone na nieuprawniony dostęp.

Fot. Obraz wygenerowany za pomocą DALL-E 3

Istnieją liczne przykłady nieodpowiedniego wykorzystania danych zdrowotnych przez dostawców usług e-zdrowia, które podkreślają istotność problemu nadmiernego udostępniania danych. Wśród nich można wymienić wspomnianą sprzedaż lub udostępnianie stronom trzecim bardzo wrażliwych szczegółów zdrowotnych.

Ponadto niekiedy dostawcy usług e-zdrowia mogą łączyć informacje o użytkownikach ze zgromadzonymi danymi zakupionymi od brokerów danych czy portali społecznościowych w celu stworzenia bardziej kompletnych profili tożsamości. Niektóre firmy mogą uniemożliwiać użytkownikom usunięcie określonych danych lub wykorzystywać wnioski wyciągnięte na temat użytkowników podczas wypełniania kwestionariuszy rejestracyjnych do celów marketingowych. Inne praktyki obejmują zezwalanie na pliki cookie stron trzecich w celu identyfikacji i śledzenia użytkowników na różnych stronach internetowych w celu wyświetlania spersonalizowanych reklam.

Takie działania stanowią naruszenie zaufania użytkowników oraz podważają integralność i etykę w zakresie wykorzystania danych medycznych. W rezultacie, konieczne jest podejmowanie środków zaradczych, aby ograniczyć nadmierne udostępnianie danych i zapewnić, że informacje zdrowotne użytkowników są odpowiednio chronione i wykorzystywane zgodnie z ich zamiarami.

Dostawcy usług mobilnych i brak klarowności w kontekście polityki prywatności

Jednym z głównych problemów związanych z niejasną polityką prywatności w aplikacjach zdrowotnych jest brak klarownej i zrozumiałej informacji udostępnianej przez dostawców aplikacji dotyczącej sposobu, w jaki gromadzone są, przetwarzane i wykorzystywane dane użytkowników. Często polityki prywatności są formułowane w sposób skomplikowany, trudny do zrozumienia dla przeciętnego użytkownika, co utrudnia świadome podejmowanie decyzji dotyczących udostępniania danych medycznych. A brak transparentności w politykach prywatności może prowadzić do niepewności i obniżenia poziomu zaufania ze strony użytkowników wobec sposobu, w jaki ich dane są przetwarzane. To zaś może zniechęcać do korzystania z aplikacji zdrowotnych.

W jaki sposób chronić się przed cyberprzestępcami?

Przed pobraniem każdej aplikacji warto zebrać odpowiednie informacje. Sprawdź, co mówią inni użytkownicy i czy są jakieś niepokojące sygnały wśród recenzji tego oprogramowania. Jeśli już korzystasz z aplikacji e-zdrowia, ograniczaj to, co udostępniasz za ich pośrednictwem i zakładaj, że wszystko, co w nich umieścisz, może zostać udostępnione szerzej. Nie łącz ich ze swoimi kontami w mediach społecznościowych ani nie używaj ich do logowania. Ograniczy to zakres danych, które mogą być udostępniane. Nie zezwalaj domyślnie aplikacjom tego typu na dostęp do kamery urządzenia, lokalizacji itp. Ogranicz śledzenie reklam w ustawieniach prywatności telefonu. Zawsze też aktualizuj aplikacje, korzystaj z uwierzytelniania wieloskładnikowego (MFA) i twórz silne, unikalne hasła.

Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET, cytowany w notatce prasowej.

Fot. sharafmaksumov / Depositphotos

Powołując się na słowa Beniamin Szczepankiewicza, analityka laboratorium antywirusowego ESET, przygotowaliśmy zbiór zasad, którymi należy się kierować w przypadku korzystania z aplikacji zdrowotnych.

Zbierz odpowiednie informacje przed pobraniem aplikacji. Zanim pobierzesz i zainstalujesz jakąkolwiek aplikację zdrowotną (właściwie nie tylko zdrowotną), zaleca się dokładne zapoznanie się z polityką prywatności i warunkami użytkowania. Sprawdź opinie innych użytkowników oraz czy istnieją jakiekolwiek ostrzeżenia dotyczące prywatności lub bezpieczeństwa aplikacji. Ważne jest również upewnienie się, że aplikacja jest pobierana ze wiarygodnego źródła, takiego jak oficjalne sklepy z aplikacjami.
Ogranicz udostępnianie danych za pośrednictwem aplikacji. Staraj się ograniczyć ilość udostępnianych danych osobowych poprzez selektywne wybieranie funkcji i uprawnień, którym aplikacja ma mieć dostęp. Jeśli dana funkcja nie jest niezbędna do korzystania z aplikacji, rozważ wyłączenie jej lub ograniczenie dostępu do niej. Pamiętaj, że im mniej danych udostępnisz, tym mniejsze ryzyko ich nieautoryzowanego wykorzystania.
Zachowaj ostrożność w korzystaniu z funkcji dostępu do kamery, lokalizacji itp. Bądź świadomy, że niektóre funkcje aplikacji mogą wymagać dostępu do kamery, lokalizacji GPS czy innych wrażliwych danych. Zanim udzielisz zgody na udostępnienie tych informacji, zastanów się, czy są one niezbędne dla działania aplikacji i czy zgadzasz się na ich udostępnienie. Staraj się ograniczyć udzielanie dostępu do tych funkcji tylko wtedy, gdy jest to absolutnie konieczne.
Regularnie aktualizuj aplikacje zdrowotne, aby mieć pewność, że korzystasz z najnowszych wersji, które mogą zawierać poprawki bezpieczeństwa. Dodatkowo korzystaj z silnych, unikalnych haseł do logowania oraz włącz uwierzytelnianie wieloskładnikowe, jeśli jest to dostępne. Pamiętaj również o regularnym sprawdzaniu ustawień prywatności w aplikacjach i dostosowywaniu ich do swoich preferencji. Dzięki tym prostym praktykom będziesz mógł efektywniej chronić swoje dane i zachować większą kontrolę nad swoją prywatnością w aplikacjach zdrowotnych.