A digitális világban ma már szinte mindenre van egy alkalmazás. Az egyik terület, amely a leginkább fellendülőben van, az egészségügy. A női ciklus követésétől kezdve a mentális egészségen át a vérnyomás mérésig szinte bármire léteznek egészségügyi (mHealth) appok.

A piac már most kétszámjegyű növekedést produkál, és 2030-ra a becslések szerint 861 milliárd dollárt fog érni. Az ESET kiberbiztonsági szakértői szerint érdemes óvatosnak lenni, hogy a legérzékenyebb adatokat kivel osztjuk meg.

Kapcsolódó

A legérzékenyebb adatokat adjuk ki

Amikor ezeket az appokat használjuk, hajlamosak vagyunk a legérzékenyebb információkat is kiadni magunkról. A GDPR az egészségügyi információkat "különleges kategóriájú" adatoknak minősíti, ami azt jelenti, hogy nyilvánosságra kerülve jelentős kockázatot jelenthetnek az egyén alapvető jogaira és szabadságára nézve. Ezért a szabályozó hatóságok extra védelemre kötelezik a szervezeteket.

Amellett, hogy ezek az alkalmazások igen hasznosak, hiszen figyelik az idős emberek mozgását és baj esetén riasztanak, monitorozzák a vízivási, sportolási és alvási szokásainkat, kontroll alatt tartják a súlyunkat, emlékeztetnek a gyógyszer bevételére, ám azért sok veszélyt is jelenthetnek.

Mindenkinek más a kockázati hajlandósága, néhányan hajlandóak lesznek kompromisszumot kötni a személyre szabott szolgáltatások/hirdetések és az adatvédelem között. Másokat talán az sem zavar, ha egyes egészségügyi adatait eladják harmadik félnek

 

– mondta Csizmazia-Darab István, az ESET megoldásait forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Sajnos nem minden alkalmazásfejlesztő tartja szem előtt a felhasználók érdekeit, vagy nem mindig tudja, hogyan védje meg őket. Előfordulhat, hogy spórolnak az adatvédelmi intézkedésekkel, vagy nem mindig teszik egyértelművé, hogy a személyes adatokból mennyit osztanak meg harmadik felekkel. Ezt szem előtt tartva érdemes megvizsgálnunk az egészségügyi appok használatának fő adatvédelmi és biztonsági kockázatait, hogy biztonságban maradjunk.

Az ESET kiberbiztonsági szakértői szerint az mHealth-alkalmazások használatának fő veszélyei három kategóriába sorolhatók:

  • elégtelen adatbiztonság;
  • a túlzott adatmegosztás;
  • és a rosszul megfogalmazott vagy szándékosan félreérthető adatvédelmi irányelvek.

Az adatbiztonsági problémák:

Már nem támogatott vagy nem frissülő alkalmazások,  ha egy szoftver nem kap frissítéseket, az egyben azt is jelenti, hogy tele lehet sebezhetőségekkel, amelyeket a támadók kihasználhatnak.

Nem biztonságos protokollok: a nem biztonságos kommunikációs protokollokat használó applikációk révén a hackerek megszerezhetik a felhasználók adatait akár a szolgáltató back-end vagy felhőszerveréből is, ahol azokat kezelik.

Nincs lehetőség többtényezős hitelesítésre (MFA): a legtöbb jó hírű szolgáltató ma már MFA-t kínál a biztonság erősítésére a bejelentkezés során. Enélkül a bűnözők ellophatják adatainkat, például adathalász támadás révén.

Gyenge jelszókezelés: olyan alkalmazások, amelyek lehetővé teszik a felhasználó számára a gyári alapértelmezett jelszavak megtartását, vagy nem biztonságos hitelesítő adatok beállítását, mint a "qwerty" vagy a "123456". 

A felhasználók egészségügyi információi rendkívül érzékeny adatokat tartalmazhatnak szexuális úton terjedő betegségekről, kábítószer-függőségről vagy más olyan egészségügyi állapotokról, amelyeket az alkalmazásüzemeltetők eladhatnak vagy megoszthatnak harmadik felekkel, köztük hirdetőkkel, marketing és célzott hirdetések készítése céljából.

A Mozilla tavaly 32 mHealth alkalmazást vizsgált meg biztonsági szempontból, az általuk felsorolt példák között szerepelnek olyan szolgáltatók, amelyek:
  • a felhasználókra vonatkozó információkat kombinálják az adatbrókerektől, közösségi oldalakról és más szolgáltatóktól szerzett adatokkal, hogy teljesebb személyiségprofilokat állíthassanak össze;
  • nem teszik lehetővé a felhasználók számára, hogy ebből bizonyos adatokat törölhessenek;
  • olyan információkat használnak fel, amelyeket a felhasználóktól kaptak meg a regisztrációs kérdőívek kitöltésekor, a szexuális irányultságra, depresszióra, nemi identitásra és más érzékeny kérdésekre vonatkozóan;
  • engedélyezik a harmadik féltől származó munkamenet (session) sütiket, amelyek azonosítják és nyomon követik a felhasználókat más weboldalakon, hogy releváns hirdetéseket jelenítsenek meg;
  • lehetővé teszik a munkamenet rögzítését, amely figyeli a felhasználó egérmozgásait, görgetését és gépelését.

Európa legfontosabb adatvédelmi törvénye, a GDPR igen egyértelműen fogalmaz a különleges kategóriájú személyes adatokat kezelő szervezetek tekintetében. A fejlesztőknek adatvédelmi hatásvizsgálatot kell végezniük, be kell tartaniuk a törléshez való jogot és az adatok minimalizálásának elvét, továbbá “megfelelő technikai intézkedéseket” kell hozniuk a szükséges garanciák biztosításához a személyes adatok védelme érdekében.

Érdemes megfogadni az alábbiakat:

  • Az app letöltése előtt nézzünk utána az alkalmazásnak. Keressünk rá, mit mondanak róla más felhasználók, és hogy találunk-e bármilyen figyelmeztető jelet az értékelések között.
  • Legyenek korlátai annak, hogy mit osztunk meg ezekben az alkalmazásokban, és mindig jusson eszünkbe, hogy az adataink nyilvánosságra kerülnek vagy kerülhetnek.
  • Ne kössük össze az alkalmazásokat közösségi fiókjainkkal, és ne használjuk bejelentkezéshez a közösségi média fiókunkat adataink védelme érdekében.
  • Ne adjunk engedélyt az alkalmazásoknak, hogy hozzáférjenek a készülék kamerájához, a helymeghatározáshoz és egyéb adatokhoz.
  • Korlátozzuk a hirdetések nyomon követését a telefon adatvédelmi beállításaiban.
  • Mindig használjunk MFA-t, ahol erre lehetőség van és alkalmazzunk erős, egyedi jelszavakat.
  • A lehető legnagyobb biztonság érdekében tartsuk az appot mindig naprakészen.
  • Fusson a telefonon internetbiztonsági védelmi megoldás – mondta a kiberbiztonsági szakember.