När sjukhus hackas, allmänheten hör om antalet offer – men inte vilken information cyberbrottslingarna stal. Ny forskning från Michigan State University och Johns Hopkins University är den första som avslöjar specifika data som läckt genom sjukhusintrång, larmklockor för nästan 170 miljoner människor.

"Den viktigaste historien vi hörde från offren var hur komprometterad, känslig information som orsakat ekonomisk förlust eller förlust av rykte, " sa John (Xuefeng) Jiang, huvudförfattare och MSU-professor i redovisning och informationssystem. "En brottsling kan lämna in en bedräglig skattedeklaration eller ansöka om ett kreditkort med personnummer och födelsedatum som läckt från ett dataintrång på sjukhus."

Tills nu, forskare har inte kunnat klassificera vilken typ eller mängd folkhälsoinformation som läckt ut genom intrång; Således, får aldrig en korrekt bild av bredd eller konsekvenser.

Resultaten, publiceras i Annals of Internal Medicine , omfattar 1, 461 överträdelser som inträffade mellan oktober 2009 och juli 2019.

Jiang och medförfattaren Ge Bai, docent i redovisning vid Johns Hopkins Carey Business School och Bloomberg School of Public Health, upptäckte att 169 miljoner människor har fått någon form av information avslöjad på grund av hackare.

För att avslöja vilken specifik information som exponerades, forskarna klassificerade data i tre kategorier:demografisk, som namn, e-postadresser och andra personliga identifierare; tjänst eller finansiell information, som inkluderade servicedatum, Faktureringsbeloppet, Betalningsinformation; och medicinsk information, såsom diagnoser eller behandling.

"Vi klassificerade vidare personnummer och körkortsnummer och födelsedatum som känslig demografisk information, och betalkort och bankkonton som känslig finansiell information. Båda typerna kan utnyttjas för identitetsstöld eller ekonomiskt bedrägeri, " sade Jiang. "Inom medicinsk information, vi sekretessbelagda information relaterad till drogmissbruk, HIV, Sexuellt överförbara sjukdomar, mental hälsa och cancer som känslig medicinsk information på grund av deras betydande konsekvenser för integriteten."

Över 70 % av överträdelserna äventyrade känslig demografisk eller finansiell information som kan leda till identitetsstöld eller ekonomiskt bedrägeri. Mer än 20 intrång kompromitterade känslig hälsoinformation, som påverkade 2 miljoner människor.

"Utan att förstå vad fienden vill, vi kan inte vinna striden, ", sa Bai. "Genom att veta vilken specifik information hackare är ute efter, vi kan öka ansträngningarna för att skydda patientinformation."

Med en nyvunnen förståelse för vilken explicit data som läckte ut – och hur många under det senaste decenniet som påverkades – erbjuder forskarna sjukhus och vårdgivare förslag på hur man bättre kan skydda patienternas känsliga information.

Forskarna föreslår att Department of Health och andra tillsynsmyndigheter formellt samlar in de typer av information som äventyras i ett dataintrång för att hjälpa allmänheten att bedöma de potentiella skadorna. Sjukhus och andra vårdgivare, Jiang sa, skulle effektivt kunna minska riskerna för dataintrång genom att fokusera på att säkra information om de har begränsade resurser. Till exempel, implementera separata system för att lagra och kommunicera känslig demografisk och finansiell information.

Jiang noterade att Department of Health and Human Services och kongressen nyligen föreslog regler som uppmuntrar mer datadelning, vilket ökar riskerna för intrång. Han sa att han och Bai planerar att arbeta med lagstiftare och industrier genom att ge praktisk vägledning och råd med hjälp av deras akademiska resultat.