Risiko Keamanan Aplikasi Kesehatan

Dalam perekonomian digital saat ini, terdapat aplikasi yang dapat digunakan untuk segala hal. Salah satu bidang yang paling berkembang pesat adalah layanan kesehatan. Namun aplikasi ini memiliki risiko keamanan aplikasi kesehatan yang perlu jadi perhatian.

Mulai dari pelacak menstruasi dan kesuburan hingga kesehatan mental dan kewaspadaan, terdapat aplikasi kesehatan seluler (mHealth) yang tersedia untuk membantu hampir semua kondisi. Faktanya, pasar ini sudah mengalami pertumbuhan dua digit, dan diperkirakan bernilai $861 miliar pada tahun 2030.

Namun saat menggunakan aplikasi ini, Anda mungkin membagikan beberapa data paling sensitif yang Anda miliki. Sementara, GDPR mengklasifikasikan informasi medis sebagai data “kategori khusus”.

Yang berarti informasi tersebut dapat “menimbulkan risiko signifikan terhadap hak-hak dasar dan kebebasan individu” jika Itu sebabnya regulator mewajibkan organisasi memberikan perlindungan ekstra terhadap hal tersebut.

Sayangnya, tidak semua pengembang aplikasi memikirkan kepentingan terbaik penggunanya, atau selalu tahu cara melindungi mereka. Mereka mungkin berhemat dalam langkah-langkah perlindungan data.

Atau mereka mungkin tidak selalu menjelaskan dengan jelas berapa banyak informasi pribadi Anda yang mereka bagikan dengan pihak ketiga.

Dengan mengingat hal tersebut, mari kita lihat risiko privasi dan keamanan utama dari penggunaan aplikasi ini, dan bagaimana melindungi diri.

Risiko Keamanan Aplikasi Kesehatan

Risiko utama penggunaan aplikasi mHealth terbagi dalam tiga kategori: keamanan data yang tidak memadai, pembagian data yang berlebihan, dan kebijakan privasi yang disusun dengan buruk atau sangat mengelak.

1. Masalah Keamanan Data

Hal ini sering kali disebabkan oleh kegagalan pengembang dalam mengikuti aturan praktik terbaik mengenai keamanan siber, yang dapat mencakup:

• Aplikasi yang tidak lagi didukung atau tidak menerima pembaruan: Vendor mungkin tidak memiliki program pengungkapan/manajemen kerentanan, atau kurang tertarik untuk memperbarui produk mereka. Apa pun alasannya, jika perangkat lunak tidak menerima pembaruan, itu berarti perangkat lunak tersebut tidak menerima pembaruan. mungkin penuh dengan kerentanan yang dapat dieksploitasi oleh penyerang untuk mencuri data Anda.
• Protokol tidak aman: Aplikasi yang menggunakan protokol komunikasi tidak aman dapat memaparkan pengguna pada risiko peretas yang menyadap data mereka saat transit dari aplikasi ke back-end atau server cloud penyedia, tempat data tersebut diproses.
• Tidak ada autentikasi multi-faktor (MFA): Sebagian besar layanan terkemuka saat ini menawarkan MFA sebagai cara untuk meningkatkan keamanan pada tahap masuk. Tanpa ini, peretas dapat memperoleh kata sandi Anda melalui phishing atau pelanggaran terpisah (jika Anda menggunakan kembali kata sandi di aplikasi yang berbeda ) dan masuk seolah-olah mereka adalah Anda.
• Manajemen kata sandi yang buruk: Misalnya, aplikasi yang memungkinkan pengguna menyimpan kata sandi default pabrik, atau menyetel kredensial tidak aman seperti “passw0rd” atau “111111.” Hal ini membuat pengguna rentan terhadap pengisian kredensial dan upaya kekerasan lainnya untuk meretas akun mereka.
• Keamanan perusahaan: Perusahaan aplikasi mungkin juga memiliki kontrol dan proses keamanan yang terbatas di lingkungan penyimpanan datanya, seperti pelatihan kesadaran pengguna yang buruk, anti-malware dan deteksi titik akhir/jaringan yang terbatas, tidak ada enkripsi data, kontrol akses terbatas, dan tidak ada manajemen kerentanan atau proses respons terhadap insiden yang sudah ada, yang semuanya meningkatkan kemungkinan terjadinya pelanggaran data.

2. Berbagi Data Secara Berlebihan

Informasi kesehatan pengguna (PHI) mungkin mencakup detail yang sangat sensitif tentang penyakit menular seksual, penambahan zat, atau kondisi yang distigmatisasi lainnya.

Informasi ini dapat dijual atau dibagikan kepada pihak ketiga, termasuk pengiklan untuk pemasaran dan iklan bertarget. Di antara contoh yang dicatat oleh Mozilla adalah mHealth penyedia yang:

• Menggabungkan informasi pengguna dengan data yang dibeli dari pialang data, situs media sosial, dan penyedia lainnya untuk membangun profil identitas yang lebih lengkap,
• Tidak mengizinkan pengguna untuk meminta penghapusan data tertentu,
• Menggunakan kesimpulan yang dibuat tentang pengguna ketika mereka mengisi kuesioner pendaftaran yang menanyakan pertanyaan terbuka tentang orientasi seksual, depresi, identitas gender, dan banyak lagi,
• Mengizinkan cookie sesi pihak ketiga yang mengidentifikasi dan melacak pengguna di situs web lain untuk menayangkan iklan yang relevan,
• Memungkinkan perekaman sesi, yang memantau pergerakan mouse pengguna, menggulir dan mengetik.

3. Kebijakan Privasi yang Tidak Jelas

Beberapa penyedia mHealth mungkin tidak berterus terang tentang beberapa praktik privasi di atas, menggunakan bahasa yang tidak jelas atau menyembunyikan aktivitas mereka dalam cetakan kecil S&K. Hal ini dapat memberikan rasa aman/privasi yang salah kepada pengguna.

• GDPR: Undang-undang perlindungan data andalan Eropa cukup tegas mengenai organisasi yang menangani PHI kategori khusus. Pengembang perlu melakukan penilaian dampak privasi, mengikuti prinsip-prinsip hak atas penghapusan dan minimalisasi data, dan mengambil “langkah-langkah teknis yang tepat” untuk memastikan “perlindungan yang diperlukan” terpenuhi. dipanggang, untuk melindungi data pribadi.
• HIPAA: Aplikasi mHealth yang ditawarkan oleh vendor komersial untuk digunakan oleh individu tidak tercakup dalam HIPAA, karena vendor bukanlah “entitas yang tercakup” atau “rekan bisnis.” Namun, ada beberapa yang – dan memerlukan perlindungan administratif, fisik, dan teknis yang sesuai. , serta Analisis Risiko tahunan.
• CCPA dan CMIA: Penduduk California memiliki dua undang-undang yang melindungi keamanan dan privasi mereka dalam konteks mHealth: Undang-undang Kerahasiaan Informasi Medis (CMIA) dan Undang-undang Privasi Konsumen California (CCPA). Undang-undang ini menuntut standar perlindungan data yang tinggi dan perlindungan data yang eksplisit. persetujuan, namun hal ini hanya berlaku bagi warga California.

Melindungi Privasi

Setiap orang akan memiliki selera risiko yang berbeda. Beberapa orang akan menganggap bahwa layanan/iklan yang dipersonalisasi dan privasi adalah sesuatu yang ingin mereka lakukan.

Yang lain mungkin tidak akan merasa terganggu jika beberapa data medis dibobol atau dijual kepada pihak ketiga. Namun, jika Anda khawatir, pertimbangkan hal berikut:

• Lakukan riset sebelum mengunduh. Lihat apa yang dikatakan pengguna lain dan apakah ada tanda bahaya dari pengulas tepercaya
• Batasi apa yang Anda bagikan melalui aplikasi ini dan asumsikan apa pun yang Anda katakan mungkin dibagikan
• Jangan menghubungkan aplikasi ke akun media sosial Anda atau menggunakannya untuk masuk. Ini akan membatasi data apa yang dapat dibagikan dengan perusahaan-perusahaan ini
• Jangan berikan izin aplikasi untuk mengakses kamera perangkat Anda, lokasi, dll.
• Batasi pelacakan iklan di pengaturan privasi ponsel Anda
• Selalu gunakan MFA jika ditawarkan dan buat kata sandi yang kuat dan unik
• Simpan aplikasi pada versi terbaru (paling aman).

Sumber berita:

WeLiveSecurity