Niezdrowe praktyki mobilnych aplikacji zdrowotnych. Czy dbają o nasze dane?

Informacje o kolejnych wyciekach danych medycznych elektryzują opinię publiczną. Warto w tym kontekście wspomnieć o innym,  potencjalnym scenariuszu niebezpiecznych incydentów.  Aplikacje monitorujące zdrowie i dobrostan to już nieodłączni towarzysze życia wielu osób. Niestety niektóre z nich mają bardzo „niezdrowe” nawyki w gromadzeniu naszych danych – przestrzegają specjaliści ds. cyberbezpieczeństwa.

Aplikacje monitorujące sen, cykl miesięczny, zdrowie psychiczne, uważność, rejestrujące wyniki badań profilaktycznych i przypominające o kolejnych, te rejestrujące i wspierające decyzje żywieniowe, aktywność fizyczną, a także wiele, wiele innych. Użytkownicy wyjątkowo chętnie korzystają z narzędzi cyfrowych analizujących ich zdrowie i dobrostan. To bardzo chłonny, komercyjny rynek. Jego globalną wartość do 2030 roku szacuje się na 861 miliardów dolarów. Bardzo dużo warte są również dane medyczne, które w ten sposób użytkownicy często udostępniają usługodawcom. Przecież, zgodnie z zapisami prawa, mają one status danych wrażliwych i powinny być przetwarzane z zachowaniem określonych reguł.

Zgodnie z europejskimi przepisami, deweloperzy muszą przeprowadzać oceny wpływu na prywatność, przestrzegać prawa do usuwania i zasad minimalizacji zbieranych danych oraz podejmować "odpowiednie środki techniczne", aby zapewnić "niezbędne zabezpieczenia" w celu ochrony danych osobowych. Niestety mimo tego, nie wszyscy twórcy aplikacji mają na uwadze właściwą ochronę swoich użytkowników. Czy wiedzą jak dbać o ich dane w wystarczający sposób? Czy jasno określają, ile danych osobowych udostępniają stronom trzecim? Jak wyglądają główne zagrożenia dla prywatności i bezpieczeństwa, związane z korzystaniem z tych aplikacji oraz sposobami zachowania bezpieczeństwa?

1. Zagrożenia związane z bezpieczeństwem danych

Często wynikają one z nieprzestrzegania przez deweloperów aplikacji e-zdrowia zasad najlepszych praktyk w zakresie cyberbezpieczeństwa. Mogą one obejmować:

• Aplikacje, które nie są już wspierane lub nie otrzymują aktualizacji: Ich dostawcy mogą nie mieć wdrożonego programu ujawniania luk w zabezpieczeniach/zarządzania nimi lub nie interesować się aktualizacją swoich produktów. Niezależnie od powodu, jeśli oprogramowanie nie otrzymuje aktualizacji, oznacza to, że może być pełne błędów, które atakujący mogą wykorzystać do kradzieży danych.
• Niezabezpieczone protokoły: Aplikacje korzystające z niezabezpieczonych protokołów komunikacyjnych mogą narażać użytkowników na ryzyko przechwycenia przez cyberprzestępców ich danych np. podczas przesyłania informacji do serwerów w chmurze, gdzie są przetwarzane.
• Brak uwierzytelniania wieloskładnikowego (MFA): Większość usług oferuje obecnie uwierzytelnianie wieloskładnikowe jako sposób na zwiększenie bezpieczeństwa na etapie logowania. Bez niego hakerzy mają ułatwione zadanie bo mogliby uzyskać hasło za pomocą phishingu lub wykorzystać hasła np. z innego wycieku danych i zalogować się.
• Słabe zarządzanie hasłami: Na przykład aplikacje, które pozwalają użytkownikom zachować domyślne hasła fabryczne lub ustawić proste hasła, takie jak "passw0rd" lub "111111". Grozi to szybkim złamaniem takiego hasła przez atakującego i uzyskaniem dostępu do naszych danych.
• Bezpieczeństwo dostawców aplikacji: Firmy zajmujące się aplikacjami mogą również popełniać błędy i niewłaściwie planować procesy bezpieczeństwa we własnym środowisku przechowywania danych, narażając w ten sposób informacje o użytkownikach.

2. Nadmierne udostępnianie danych

Informacje zdrowotne użytkowników mogą zawierać bardzo wrażliwe szczegóły np. dotyczące chorób przenoszonych drogą płciową, uzależnienia od substancji lub innych stygmatyzujących schorzeń. Dane te mogą być sprzedawane lub udostępniane stronom trzecim, w tym reklamodawcom w celach marketingowych i ukierunkowanych reklam. Wśród przykładów odnotowanych przez Mozillę są dostawcy usług, którzy popełniali takie błędy jak:

• Łączenie informacje o użytkownikach z danymi zakupionymi od brokerów danych, portali społecznościowych i innych dostawców w celu stworzenia bardziej kompletnych profili tożsamości.
• Uniemożliwianie użytkownikom usunięcia określonych danych.
• Wykorzystywanie wniosków wyciągniętych na temat użytkowników podczas wypełniania kwestionariuszy rejestracyjnych, w których zadawane są pytania dotyczące orientacji seksualnej, depresji, tożsamości płciowej i innych.
• Zezwalanie na pliki cookie stron trzecich, które identyfikują i śledzą użytkowników na innych stronach internetowych w celu wyświetlania odpowiednich reklam.
• Zezwalanie na nagrywanie użytkowania, monitorujące ruchy myszy użytkownika, przewijanie i pisanie.

3. Niejasna polityka prywatności

Niektórzy dostawcy usług e-zdrowia nie komunikują wystarczająco swoich praktyk przetwarzania danych i ochrony prywatności, zarówno z powodu niedbałości, jak i celowo. Zdarza się, że używają niejasnego języka lub zamieszczają informacje drobnym drukiem. Może to dawać użytkownikom fałszywe poczucie bezpieczeństwa czy prywatności.

– Przed pobraniem każdej aplikacji warto zebrać odpowiednie informacje. Sprawdź, co mówią inni użytkownicy i czy są jakieś niepokojące sygnały wśród recenzji tego oprogramowania. Jeśli już korzystasz z aplikacji e-zdrowia, ograniczaj to, co udostępniasz za ich pośrednictwem i zakładaj, że wszystko, co w nich umieścisz, może zostać udostępnione szerzej. Nie łącz ich ze swoimi kontami w mediach społecznościowych ani nie używaj ich do logowania. Ograniczy to zakres danych, które mogą być udostępniane. Nie zezwalaj domyślnie aplikacjom tego typu na dostęp do kamery urządzenia, lokalizacji itp. Ogranicz śledzenie reklam w ustawieniach prywatności telefonu. Zawsze też aktualizuj aplikacje, korzystaj z uwierzytelniania wieloskładnikowego (MFA) i twórz silne, unikalne hasła – komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.