A digitális világban ma már szinte mindenre van egy alkalmazás. Az egyik terület, amely a leginkább fellendülőben van, az egészségügy. A női ciklus követésétől kezdve a mentális egészségen át a mindfulnessig (magyarul általában „tudatos jelenlét") szinte bármilyen helyzetre léteznek egészségügyi (mHealth) appok. A piac már most kétszámjegyű növekedést produkál, és 2030-ra a becslések szerint 861 milliárd dollárt fog érni. Az ESET kiberbiztonsági szakértői szerint érdemes óvatosnak lennünk, hogy kivel osztjuk meg a legérzékenyebb adatainkat - figyelembe véve egyes egészségügyi appok aggályos adatgyűjtési szokásait.
Amikor ezeket az alkalmazásokat használjuk, hajlamosak vagyunk a legérzékenyebb adatainkat is megosztani. A GDPR az egészségügyi információkat "különleges kategóriájú" adatoknak minősíti, ami azt jelenti, hogy nyilvánosságra kerülve “jelentős kockázatot jelenthetnek az egyén alapvető jogaira és szabadságára nézve”. Ezért a szabályozó hatóságok extra védelemre kötelezik a szervezeteket.
Amellett, hogy ezek az alkalmazások igen hasznosak, hiszen figyelik az idős emberek mozgását és baj esetén riasztanak, monitorozzák a vízivási, sportolási és alvási szokásainkat, kontroll alatt tartják a súlyunkat, emlékeztetnek a gyógyszer bevételére, ám azért sok veszélyt is jelenthetnek.
Sajnos nem minden alkalmazásfejlesztő tartja szem előtt a felhasználók érdekeit, vagy nem mindig tudja, hogyan védje meg őket. Előfordulhat, hogy spórolnak az adatvédelmi intézkedésekkel, vagy nem mindig teszik egyértelművé, hogy a személyes adatokból mennyit osztanak meg harmadik felekkel. Ezt szem előtt tartva érdemes megvizsgálnunk az egészségügyi appok használatának fő adatvédelmi és biztonsági kockázatait, hogy biztonságban maradjunk.
Melyek az egészségügyi alkalmazások legfőbb adatvédelmi és biztonsági kockázatai?
Az ESET kiberbiztonsági szakértői szerint az mHealth-alkalmazások használatának fő veszélyei három kategóriába sorolhatók: elégtelen adatbiztonság, a túlzott adatmegosztás és a rosszul megfogalmazott vagy szándékosan félreérthető adatvédelmi irányelvek.
Adatbiztonsági problémák
Az adatbiztonsági problémák gyakran abból adódnak, hogy a fejlesztők nem tartják be a kiberbiztonságra vonatkozó legfontosabb szabályokat. Ide tartoznak:
Már nem támogatott vagy nem frissülő alkalmazások: előfordulhat, hogy a gyártók nem rendelkeznek sérülékenység közzétételi irányelvvel, vagy nem érdekeltek termékeik rendszeres frissítésében. Bármi legyen is az ok, ha egy szoftver nem kap frissítéseket, az egyben azt is jelenti, hogy tele lehet sebezhetőségekkel, amelyeket a támadók kihasználhatnak.
Nem biztonságos protokollok: a nem biztonságos kommunikációs protokollokat használó applikációk révén a hackerek megszerezhetik a felhasználók adatait akár a szolgáltató back-end vagy felhőszerveréből is, ahol azokat kezelik.
Nincs lehetőség többtényezős hitelesítésre (MFA): a legtöbb jó hírű szolgáltató ma már MFA-t kínál a biztonság erősítésére a bejelentkezés során. Enélkül a bűnözők ellophatják adatainkat, például adathalász támadás révén.
Gyenge jelszókezelés: olyan alkalmazások, amelyek lehetővé teszik a felhasználó számára a gyári alapértelmezett jelszavak megtartását, vagy nem biztonságos hitelesítő adatok beállítását, mint a "qwerty" vagy a "123456". Ezáltal olyan támadások veszélyének lehetünk kitéve, mint az automatizált jelszavakat kihasználó credential stuffing vagy a lehetséges karakterek kombinációiból jelszó-variációkat összeállító brute force (próbálgatásos) támadások.
Vállalati biztonság: előfordulhat, hogy az alkalmazást fejlesztő vállalat saját adattárolási környezetében kevés biztonsági ellenőrzést véges vagy alacsony biztonságú folyamatokat alkalmaz. Ilyen hiányosság például a korlátozott kártevő- és végpont/hálózati észlelés, az adattitkosítás hiánya, a limitált hozzáférés-ellenőrzés, valamint a sérülékenység-kezelés és az incidensek kezelésére szolgáló folyamatok hiánya. Ezek mind növelik egy lehetséges adatvédelmi incidens esélyét.
Túlzott adatmegosztás
A felhasználók egészségügyi információi rendkívül érzékeny adatokat tartalmazhatnak szexuális úton terjedő betegségekről, kábítószer-függőségről vagy más olyan egészségügyi állapotokról, amelyeket az alkalmazásüzemeltetők eladhatnak vagy megoszthatnak harmadik felekkel, köztük hirdetőkkel, marketing és célzott hirdetések készítése céljából. A Mozilla tavaly 32 mHealth alkalmazást vizsgált meg biztonsági szempontból, az általuk felsorolt példák között szerepelnek olyan szolgáltatók, amelyek:
a felhasználókra vonatkozó információkat kombinálják az adatbrókerektől, közösségi oldalakról és más szolgáltatóktól szerzett adatokkal, hogy teljesebb személyiségprofilokat állíthassanak össze,
nem teszik lehetővé a felhasználók számára, hogy ebből bizonyos adatokat törölhessenek,
olyan információkat használnak fel, amelyeket a felhasználóktól kaptak meg a regisztrációs kérdőívek kitöltésekor, a szexuális irányultságra, depresszióra, nemi identitásra és más érzékeny kérdésekre vonatkozóan,
engedélyezik a harmadik féltől származó munkamenet (session) sütiket, amelyek azonosítják és nyomon követik a felhasználókat más weboldalakon, hogy releváns hirdetéseket jelenítsenek meg,
lehetővé teszik a munkamenet rögzítését, amely figyeli a felhasználó egérmozgásait, görgetését és gépelését.
Nem egyértelmű adatvédelmi irányelvek
Az ESET kutatói arra is felhívják a figyelmet, hogy egyes mHealth-szolgáltatók nem tájékoztatnak világosan a felsorolt adatvédelmi gyakorlatokról, szándékosan homályosan fogalmaznak vagy a tevékenységet az ÁSZF apró betűs részébe rejtik, ami hamis biztonságérzetet ad a felhasználóknak.
Mit mond a törvény?
Európa legfontosabb adatvédelmi törvénye, a GDPR igen egyértelműen fogalmaz a különleges kategóriájú személyes adatokat kezelő szervezetek tekintetében. A fejlesztőknek adatvédelmi hatásvizsgálatot kell végezniük, be kell tartaniuk a törléshez való jogot és az adatok minimalizálásának elvét, továbbá “megfelelő technikai intézkedéseket” kell hozniuk a szükséges garanciák biztosításához a személyes adatok védelme érdekében.
Lépések a személyes adatok védelme érdekében
Mindenkinek más a kockázati hajlandósága. Néhányan hajlandóak lesznek kompromisszumot kötni a személyre szabott szolgáltatások/hirdetések és az adatvédelem között. Másokat talán az sem zavar, ha egyes egészségügyi adatait eladják harmadik félnek. A fontos, hogy ez egy tudatos döntés legyen, ne pedig a felhasználó megtévesztése. Ha mégis aggodalommal tölt el minket a helyzet, Csizmazia-Darab István, az ESET megoldásait forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint érdemes megfogadni az alábbiakat:
Az app letöltése előtt nézzünk utána az alkalmazásnak. Keressünk rá, mit mondanak róla más felhasználók, és hogy találunk-e bármilyen figyelmeztető jelet az értékelések között.
Legyenek korlátai annak, hogy mit osztunk meg ezekben az alkalmazásokban, és mindig jusson eszünkbe, hogy az adataink nyilvánosságra kerülnek vagy kerülhetnek.
Ne kössük össze az alkalmazásokat közösségi fiókjainkkal, és ne használjuk bejelentkezéshez a közösségi média fiókunkat adataink védelme érdekében.
Ne adjunk engedélyt az alkalmazásoknak, hogy hozzáférjenek a készülék kamerájához, a helymeghatározáshoz és egyéb adatokhoz.
Korlátozzuk a hirdetések nyomon követését a telefon adatvédelmi beállításaiban.
Mindig használjunk MFA-t, ahol erre lehetőség van és alkalmazzunk erős, egyedi jelszavakat.
A lehető legnagyobb biztonság érdekében tartsuk az appot mindig naprakészen.
Fusson a telefonon internetbiztonsági védelmi megoldás, például az ESET Mobile Security for Android.
Ha kétségünk támad egy alkalmazással kapcsolatban, inkább ne telepítsük.
Bár ezek az alkalmazások sokat segíthetnek a mindennapi életben, fontos szem előtt tartanunk, hogy az érzékeny egészségügyi adatainkat csak megbízható és számonkérhető szolgáltatókra bízzuk rá.
