Pół miliona Brytyjczyków zgłosiło się, by pomóc w walce z rakiem. Ich dane trafiły do sprzedaży na platformie Alibaba.
Organizacja charytatywna UK Biobank poinformowała rząd brytyjski o incydencie związanym z danymi medycznymi 500 000 brytyjskich obywateli, które zostały wystawione na sprzedaż na chińskiej platformie e-commerce Alibaba.
Krajowa inspektorka ds. ochrony danych, dr Nicola Byrne, oświadczy ła:
„Osoby, które hojnie udostępniają swoje dane dotyczące zdrowia, aby pomóc innym poprzez badania medyczne, mają pełne prawo oczekiwać, że dane te będą bezpieczne oraz że w razie niepowodzeń ktoś poniesie za to odpowiedzialność”.
Przedstawiciele władz stwierdzili, że naukowcy pobrali dane na podstawie legalnej umowy, ale fakt, że pojawiły się one na platformie Alibaba, pokazuje, jak „autoryzowany” dostęp może mimo wszystko doprowadzić do publicznego ujawnienia informacji.
UK Biobank dysponuje ponad 15 milionami próbek biologicznych oraz szczegółową dokumentacją medyczną ochotników zrekrutowanych w latach 2006–2010, a naukowcy z całego świata wykorzystują te dane do badań nad rakiem, demencją, cukrzycą i innymi chorobami przewlekłymi.
UK Biobank zazwyczaj zawiera umowy ze sprawdzonymi uczelniami i prywatnymi firmami, zanim udzieli im dostępu do danych, jednak śledczy ustalili, że oferty zamieszczone na platformie Alibaba pochodziły od trzech instytucji badawczych. UK Biobank cofnął im dostęp i wstrzymał przyznawanie nowego dostępu do danych na czas wzmocnienia środków bezpieczeństwa.
Co najmniej jedna oferta zawierała podobno dane dotyczące wszystkich 500 000 wolontariuszy, a firma Alibaba i chińskie władze usunęły ogłoszenia, zanim ktokolwiek zdążył potwierdzić sprzedaż.
Zbiór danych pochodzi z długoterminowego badania kohortowego prowadzonego przez UK Biobank i obejmuje sekwencje genetyczne, próbki krwi, wyniki badań obrazowych oraz szczegółowe informacje dotyczące stylu życia, wykorzystywane w globalnych badaniach naukowych dotyczących zdrowia.
UK Biobank podkreśla, że dane zostały „zanonimizowane”, co oznacza, że nie zawierały one imion i nazwisk, adresów ani numerów NHS. Zawierały one jednak szczegółowe dane demograficzne, takie jak płeć, wiek, miesiąc i rok urodzenia, wskaźniki społeczno-ekonomiczne, informacje dotyczące stylu życia oraz wskaźniki zdrowotne. Wielokrotnie mieliśmy okazję przekonać się, że dane tego rodzaju można ponownie powiązać z konkretnymi osobami poprzez porównanie z innymi rejestrami publicznymi lub komercyjnymi.
Dlaczego Chiny się tym interesują
Raporty amerykańskich służb wywiadowczych, dokumenty strategiczne oraz prace naukowe przedstawiają spójny obraz sytuacji: Chiny traktują obszerne i zróżnicowane zbiory danych dotyczących genomu ludzkiego i zdrowia jako zasób strategiczny, zarówno ze względów gospodarczych, jak i bezpieczeństwa.
Amerykańskie Narodowe Centrum Kontrwywiadu i Bezpieczeństwa (NCSC) wyraźnie stwierdza, że Chińska Republika Ludowa traktuje zbiorcze dane dotyczące opieki zdrowotnej i dane genomowe jako „towar strategiczny” służący do rozwoju branży biotechnologicznej, sztucznej inteligencji i medycyny precyzyjnej, a także zainwestowała miliardy dolarów w krajowe inicjatywy w dziedzinie genomiki i medycyny precyzyjnej.
Duże zbiory danych pochodzące od populacji spoza Chin są szczególnie cenne przy tworzeniu modeli sztucznej inteligencji oraz zwiększaniu globalnej konkurencyjności chińskiego przemysłu farmaceutycznego i biotechnologicznego.
Z punktu widzenia cyberprzestępcy lub zagranicznych służb wywiadowczych UK Biobank stanowi prawdziwą „perłę w koronie”: dane są tam starannie wyselekcjonowane, charakteryzują się wysoką jakością, obejmują całą populację i są znacznie bardziej przydatne niż przypadkowe zbiory danych pochodzące z wycieków. A ponieważ dane genetyczne są niezmienne (w przeciwieństwie do hasła nie można ich zmienić), każde ich ujawnienie ma bardzo długotrwałą wartość wywiadowczą.
W zeszłym roku dziennik „The Guardian” poinformował, że co piąty rozpatrzony pozytywnie wniosek o dostęp do danych UK Biobanku pochodził od podmiotów chińskich, w tym od BGI – czołowej chińskiej firmy zajmującej się genomiką, która została później umieszczona na amerykańskiej liście podmiotów (Entity List) w związku z obawami dotyczącymi jej roli w inwigilacji mniejszości etnicznych.
Chiny nie gromadzą danych DNA wyłącznie z ciekawości. Tworzą one globalną mapę genomową, która obejmuje zarówno przeciwników, jak i własnych obywateli.
Twoje dane genomowe
Istnieją poważne obawy, że dane genetyczne mogą trafić w niepowołane ręce, i to nie bez powodu. Nie zamierzam jednak twierdzić, że udostępnianie swoich danych medycznych na potrzeby badań naukowych jest czymś złym. Naukowcy często wykorzystują te dane w szczytnym celu, aby pomóc innym.
Zanim to zrobisz, warto jednak zadać sobie kilka istotnych pytań.
- Kto kieruje tym projektem i gdzie ma on swoją siedzibę?
Preferujemy biobanki non-profit lub akademickie, które mają jasno określone zadania leżące w interesie publicznym i podlegają ścisłemu nadzorowi, a nie nieprzejrzystych komercyjnych pośredników danych. - W jaki sposób przechowują zebrane dane?
Zapytaj konkretnie o dane genomowe, surowe pliki sekwencjonowania, powiązania z dokumentacją medyczną oraz o to, czy dane są szyfrowane zarówno podczas przechowywania, jak i podczas przesyłania. - Kto ma dostęp do danych i jakie środki kontroli są stosowane?
Należy zwrócić uwagę na istnienie formalnej komisji ds. dostępu, rygorystyczne umowy oraz środki kontroli technicznej, takie jak bezpieczne środowiska analityczne i ograniczone opcje eksportu, a nie modele typu „pobierz plik CSV i gotowe”, takie jak ten, który doprowadził do incydentu w UK Biobank. - Czy podmioty zagraniczne mają prawo uzyskiwać dostęp do danych lub je kopiować?
W świetle ostrzeżeń rządów Stanów Zjednoczonych i Wielkiej Brytanii dotyczących dostępu Chin do zachodnich danych genomowych uzasadnione jest pytanie, czy dane mogą być udostępniane, przetwarzane lub przechowywane w jurysdykcjach o odmiennych standardach bezpieczeństwa. - Jak radzą sobie z ryzykiem ponownej identyfikacji?
Jak już wspomnieliśmy, termin „zanonimizowane” nie jest magicznym rozwiązaniem. Privacy oraz amerykańskie służby wywiadowcze ostrzegają, że dane dotyczące zdrowia i dane genomowe często można ponownie zidentyfikować po połączeniu ich z innymi zbiorami danych.
Jeśli dane zawierające Twoje DNA znalazły się w rękach kogoś innego, nie możesz ich już odzyskać, ale możesz domagać się lepszego zarządzania nimi oraz naciskać na instytucje, by traktowały dane genomowe jako informacje wrażliwe o znaczeniu dla bezpieczeństwa narodowego.
Wymaga to również większego sceptycyzmu wobec wysoce ukierunkowanych oszustw. Atakujący mogą wykorzystywać obszerne, połączone zbiory danych do tworzenia przekonujących oszustw typu spear-phishing lub związanych ze zdrowiem, na przykład kontaktując się z Tobą w sprawie konkretnej choroby, na którą cierpisz Ty lub członek Twojej rodziny. Do niechcianych wiadomości e-mail, połączeń telefonicznych i aplikacji dotyczących zdrowia lub DNA podchodź z wyjątkową ostrożnością.
Co cyberprzestępcy wiedzą o Tobie?
Skorzystaj z bezpłatnego skanowania śladu cyfrowego Malwarebytes, aby sprawdzić, czy Twoje dane osobowe zostały ujawnione w Internecie.
