รัฐบาลออสเตรเลียกำลังเปลี่ยนระบบสุขภาพของประเทศให้เป็นดิจิทัล แต่การละเมิดความปลอดภัยของเมดิแคร์อย่างร้ายแรงบ่งชี้ว่าเราอาจยังไม่พร้อม ตำรวจสหพันธรัฐออสเตรเลียกำลังสืบสวนหลังจาก Guardian พบว่ารายละเอียดบัตร Medicare ของชาวออสเตรเลียมีให้ซื้อบน “เว็บมืด” เว็บมืด – กลุ่มของเว็บไซต์ที่สามารถเข้าถึงได้ผ่านระบบนิรนามเช่น Tor – ช่วยให้ผู้ขายยังคงซ่อนตัวจากการบังคับใช้กฎหมายเป็นส่วนใหญ่ มีการซื้อขายสินค้าและบริการที่ผิดกฎหมายมาอย่างยาวนาน ซึ่งรวมถึง
ข้อมูลส่วนบุคคลที่ถูกแฮ็กในตลาดเว็บมืดที่มีลักษณะคล้าย eBay
ตามที่นักข่าว Paul Farrell ชี้ให้เห็นกลุ่มอาชญากรสามารถใช้หมายเลข Medicare เพื่อสร้างบัตร Medicare ปลอมที่มีรายละเอียดของบุคคลจริง เมื่อใช้ร่วมกับข้อมูลส่วนบุคคลอื่น ๆ บัตรเหล่านี้หรือเพียงแค่หมายเลข Medicare เองอาจถูกใช้เพื่อกระทำการฉ้อโกงได้หลากหลาย
ยังไม่ชัดเจนว่าได้รับรายละเอียดของ Medicare อย่างไร ในการแถลงข่าวเมื่อวันอังคาร นายอลัน ทัดจ์ รัฐมนตรีกระทรวงบริการมนุษย์ กล่าวว่า เขาได้รับคำแนะนำว่า “ไม่มีการละเมิดความปลอดภัยทางไซเบอร์ในระบบของเราในลักษณะดังกล่าว แต่มีแนวโน้มว่าจะเป็นกิจกรรมทางอาญาแบบดั้งเดิมมากกว่า”
เขาจะไม่อธิบายว่า “กิจกรรมอาชญากรรมแบบดั้งเดิม” อาจรวมถึงอะไร แต่เน้นย้ำว่ารายละเอียดของ Medicare ที่มีอยู่ไม่เพียงพอที่จะเข้าถึงบันทึกสุขภาพส่วนบุคคลได้
ในมุมมองของฉัน บริการออนไลน์สำหรับผู้เชี่ยวชาญด้านสุขภาพ (HPOS ) ของ Department of Human Services (DHS ) ซึ่งให้ผู้เชี่ยวชาญด้านสุขภาพเข้าถึงรายละเอียดของ Medicare มีจุดอ่อนในด้านความปลอดภัย
HPOS เป็นระบบออนไลน์สำหรับผู้ให้บริการด้านการดูแลสุขภาพและความทุพพลภาพ เช่น แนวทางปฏิบัติทางการแพทย์ เพื่อโต้ตอบกับแผนกซึ่งรวมถึงการส่งการเรียกร้อง Medicare ทางอิเล็กทรอนิกส์ นอกจากนี้ยังสามารถใช้เพื่อค้นหาหมายเลขบัตรเมดิแคร์ของผู้ป่วยตามชื่อและวันเดือนปีเกิด
เจ้าหน้าที่ของผู้ให้บริการด้านสุขภาพที่มีการเข้าสู่ระบบ HPOS ตลอดจนชื่อและวันเกิดของใครบางคนสามารถค้นหาหมายเลข Medicare ของใครก็ได้ในออสเตรเลีย ซึ่งตรงกับรายละเอียดที่ขอจาก Farrell โดยผู้จำหน่ายเว็บมืด ที่สำคัญ กลไกในการปกป้อง HPOS จากการเข้าสู่ระบบที่ไม่ได้รับอนุญาตนั้นไม่เป็นไปตามแนวทางปฏิบัติด้านความปลอดภัยสมัยใหม่ การเข้าสู่ระบบ HPOS ได้รับการจัดการผ่านระบบ
ออนไลน์อื่นที่เรียกว่า Provider Digital Access (PRODA )
ซึ่งเพิ่งเปิดตัวเป็นทางเลือกแทนใบรับรอง Human Services Public Key Infrastructure ( PKI ) ที่ให้การเข้าถึงบริการออนไลน์ด้วย
ตามทฤษฎีแล้ว PRODA ใช้ “การตรวจสอบสิทธิ์แบบสองปัจจัย” เพื่อให้มั่นใจว่าการขโมยชื่อผู้ใช้และรหัสผ่านเพียงอย่างเดียวนั้นไม่เพียงพอที่จะเข้าถึงโดยผิดกฎหมาย
ตอนนี้หลายคนคุ้นเคยกับรหัสยืนยันตัวตนแบบสองปัจจัยที่ส่งทาง SMS เมื่อใช้บริการธนาคารออนไลน์ หรือแอปยืนยันตัวตนบนสมาร์ทโฟนที่สร้างรหัสลับที่ใช้ในการเข้าสู่ระบบ PRODA นำเสนอทั้งสองตัวเลือก อย่างไรก็ตาม ยังรองรับ การส่งรหัสทางอีเมล อีกด้วย
แม้แต่การรับรองความถูกต้องด้วยสองปัจจัยที่ใช้ SMS ก็มีปัญหาด้านความปลอดภัยเพียงพอที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกาจะไม่แนะนำให้ใช้กับระบบใหม่อีกต่อ ไป อย่างไรก็ตาม วิธีนี้ดีกว่าการตรวจสอบสิทธิ์แบบสองปัจจัยทางอีเมลมาก การส่ง “โทเค็นลับ” ทางอีเมลแทบไม่มีประโยชน์เลยในฐานะมาตรการรักษาความปลอดภัย
การบุกรุกใดๆ ของคอมพิวเตอร์ที่ใช้สำหรับการเข้าถึง HPOS ซึ่งทำให้อาชญากรเข้าถึงชื่อผู้ใช้และรหัสผ่านของ PRODA มีแนวโน้มที่จะให้สิทธิ์เข้าถึงบัญชีอีเมลที่ส่งรหัสการตรวจสอบความถูกต้องของ PRODA การเข้าถึง HPOS ในภายหลังโดยอาชญากรจะต้องใช้ชื่อผู้ใช้และรหัสผ่านที่ขโมยมา และตรวจสอบบัญชีอีเมลที่ถูกบุกรุก
เพื่อตอบสนองต่อคำร้องขอความคิดเห็น โฆษกของ DHS กล่าวว่า HPOS ได้รับการออกแบบมาโดย “มีความปลอดภัยในระดับแนวหน้า”
“ผู้ให้บริการด้านสุขภาพต้องผ่านขั้นตอนการลงทะเบียนที่เข้มงวดเพื่อเข้าถึง HPOS” เธอกล่าวในอีเมล “การเข้าถึงนั้นมอบให้กับบุคคลทั่วไป (ไม่ใช่สำหรับการปฏิบัติทางการแพทย์ทั้งหมด) เมื่อพวกเขาได้พิสูจน์ข้อมูลประจำตัวแล้ว
“แผนกปฏิบัติต่อความปลอดภัยของข้อมูลส่วนบุคคลอย่างจริงจังและดำเนินการตรวจสอบอย่างละเอียดเกี่ยวกับข้อเรียกร้องใดๆ ของการใช้ในทางที่ผิด”
หมายเลข Medicare และภารกิจคืบคลาน
ข้อบกพร่องทางเทคนิคใน HPOS และ PRODA อาจแก้ไขได้เมื่อเวลาผ่านไป อย่างไรก็ตาม นี่อาจไม่เพียงพอในการปกป้องหมายเลข Medicare
โดยพื้นฐานแล้ว HPOS ให้มนุษย์ที่อาจเสียหายและผิดพลาดได้หลายพันคนในสถานที่ต่างๆ ทั่วประเทศที่มีระบบไอทีที่ได้รับการบำรุงรักษาไม่สม่ำเสมอ เข้าถึงหมายเลข Medicare
แม้ว่าระบบของแผนกจะสามารถรักษาความปลอดภัยได้ แต่หมายเลข Medicare ยังถูกจัดเก็บไว้ในระบบการจัดการด้านเวชปฏิบัติของผู้ให้บริการนับพันรายเหล่านั้นด้วย
ด้วยเหตุนี้ การทำให้พวกเขาปลอดภัยจากอาชญากรด้วยกลิ่นของ Bitcoins ในรูจมูกของพวกเขาจึงน่าจะเป็นการออกกำลังกายที่ไร้ประโยชน์
แทนที่จะยืนหยัดในการรักษาความปลอดภัยที่สมบูรณ์แบบสำหรับหมายเลขที่ไม่ปลอดภัย การจำกัดอันตรายจากการใช้งานในทางที่ผิดอาจมีประโยชน์มากกว่า ตัวอย่างเช่น สามารถใช้บัตร Medicare เป็นส่วนหนึ่งของ การตรวจ สอบID 100 จุด อาจถึงเวลาที่ต้องพิจารณาว่าการใช้งานแบบขยายนี้เหมาะสมหรือไม่
บันทึกสุขภาพของฉัน: ความท้าทายด้านความปลอดภัย
ในอีกไม่กี่ปีข้างหน้า ขอบเขตของข้อมูลทางการแพทย์ของรัฐบาลกลางจะขยายออกไปอย่างมาก
My Health Recordเป็นโปรแกรมสำหรับเวชระเบียนอิเล็กทรอนิกส์แบบรวมศูนย์ แม้ว่าปัจจุบันจะเป็นระบบเลือกรับสำหรับชาวออสเตรเลียส่วนใหญ่ แต่ในปี 2561ระบบจะเปลี่ยนเป็นรูปแบบ “เลือกไม่ใช้”
ผู้เชี่ยวชาญทางการแพทย์สามารถเข้าถึงรายละเอียดผู้ป่วยจาก My Health Record โดยไม่ได้รับอนุญาตจากผู้ป่วยในกรณีฉุกเฉิน และระบบต้องเผชิญกับความเสี่ยงด้านบุคลากรและองค์กรหลายประการเช่นเดียวกับ HPOS
จำนวนคนและระบบที่เข้าถึงได้ทำให้แทบเป็นไปไม่ได้เลยที่จะรักษาข้อมูลที่ละเอียดอ่อนมากกว่านี้ให้ปลอดภัยทั้งหมด โดยไม่คำนึงถึงมาตรการป้องกันทางเทคนิคโดยละเอียด
การละเมิดข้อมูลเมดิแคร์แม้จะร้ายแรงเพียงใด ก็เป็นการเตือนล่วงหน้าถึงความเสี่ยงที่มากขึ้นที่เรากำลังจะเกิดขึ้น
สำหรับสิ่งที่คุ้มค่า ฉันเลือกที่จะไม่ใช้บันทึกสุขภาพของฉันสำหรับลูกสาวของฉันหลังคลอด และจะทำเช่นเดียวกันสำหรับตัวฉันเองเมื่อเผยแพร่ทั่วประเทศ
Credit : เว็บแทงบอล
