На початку червня 2018 року служби ізраїльської компанії MyHeritage, яка займається тестуванням ДНК, виявили, що хакери зламали 92 млн облікових записів компанії. Попри те, що хакери отримали доступ лише до зашифрованих електронних листів та паролів і так і не досягли фактичних генетичних даних, немає жодних сумнівів у тому, що такий тип зламування стане більш розповсюдженим, оскільки генетичні тестування набувають популярності. Чому хакери зацікавлені в отриманні інформації про ДНК? Які наслідки зламування подібної інформації? Відповіді – в адаптованому перекладі матеріалу з ресурсу The Verge.
Не грошима єдиними
Однією з простих причин зацікавленості хакерів у зламуванні інформації про генетику осіб є потенційне бажання повернути ці самі дані ДНК за викуп або продати їх, — говорить Джованні Вігна (Giovanni Vigna), професор інформатики Каліфорнійського університету в Санта-Барбарі (США) та співзасновник компанії з питань кібербезпеки Lastline. Хакери можуть погрожувати анулювати доступ до інформації або розмістити конфіденційну інформацію в інтернеті, якщо їм не заплатять. Одна з лікарень штату Індіана якось виплатила хакерам $55 000 саме з цієї причини. Але існують й інші мотиви підвищеної зацікавленості в генетичних даних.
«– Ці дані можуть бути продані таємно, наприклад, страховим компаніям, – додає Вігна. – Можете собі уявити наслідки таких дій: людина подає заявку на отримання довгострокового кредиту й отримує відмову, оскільки десь у глибині корпоративної системи містяться дані про те, що існує велика ймовірність розвитку у цієї людини хвороби Альцгеймера і смерті до погашення позики».
Компанія MyHeritage не пропонує медичних тестів, але є багато інших, наприклад, американські 23andMe або Helix, які надають саме такі послуги. Також існує безліч груп осіб, зацікавлених у ДНК:
- дослідники прагнуть отримати генетичні дані для наукових робіт,
- страхові компанії хочуть володіти генетичними даними для розрахунку вартості медичного страхування та страхування життя,
- а поліція потребує генетичних даних для відстежування злочинців.
Уже сьогодні бракує надійного захисту, коли йдеться про генетичну конфіденційність, і, таким чином, порушення безпеки генетичних даних може стати кошмаром. «Якщо існують дані, існує спосіб їх експлуатації», – стверджує Наталі Рам (Natalie Ram), професорка права, що спеціалізується на питаннях біоетики в Університеті Балтимора, США.
Незмінна ідентифікація
Сайти, що пропонують генетичні тести, є справжніми скарбницями конфіденційної інформації. Деякі з цих ресурсів пропонують користувачам можливість завантажити копію свого повного генетичного коду, інші – ні, але повний генетичний код – далеко не найцінніша інформація. Як зазначає Рам, ми не можемо читати генетичний код подібно до книги і розуміти його. Натомість хакерів цікавлять сторінки з розтлумаченою інформацією про здоров’я людини. Ці дані можуть бути цінними для страхових компаній, працівників різних служб і поліції. Якщо подібні дані публікуються в інтернеті, вони можуть бути використані для генетичної дискримінації людей, наприклад, для відмови в іпотечних кредитах або для збільшення страхових витрат (факт того, що генетичну інформацію важко інтерпретувати, а багато людей взагалі не розуміють ймовірностей, не стає на заваді). У майбутньому, якщо генетичні дані стануть розповсюдженими, люди зможуть платити певну суму й отримувати доступ до генетичних даних інших осіб, подібно до того, як сьогодні можна розшукати кримінальну історію особи.
Звісно, поліція та компанії не прагнуть активно працювати з хакерами, утім, часто джерело надходження даних може бути незрозумілим, і завжди існуватиме «чорний ринок», де можна купити або продати інформацію, або використати її для шантажу.
«– Я не можу уявити, що, як тільки ця інформація буде зламана й розміщена в інтернеті, вона матиме кращий ступінь захисту, – переживає Рам. – Не думаю, що ми можемо сказати, що тільки тому, що певні дані з’явились у результаті зламу, ніхто й ніколи не буде користуватись ними. Це нереалістично».
Існує й інша проблема: результати генетичних тестів часто недостовірні. Результати тестувань щодо стану здоров’я можуть містити неправдиві позитивні результати, і навіть тести на родовід можуть бути дуже неточними (почитайте про це тут). Наприклад, деякі з тестів, що використовуються компанією 23andMe, були затверджені Управлінням з контролю за харчовими продуктами та лікарськими засобами США, інші – ні. Отже, коли людина, наприклад, отримує кредитний звіт, вона може легко оскаржити його, але майже ніхто не має генетичної грамотності, щоб знайти інформацію про себе, зрозуміти її та виправити. У світі бракує генетичних консультантів, а недавнє дослідження засвідчило, що деякі лікарі не почуваються комфортно, інтерпретуючи результати.
Як довела хакерська атака на компанію Equifax минулого року, коли були отримані номери соціального страхування половини населення США, бракує законодавчого підґрунтя для регулювання того, що відбувається з даними після зламу.
Зрештою, витік генетичних даних значно серйозніший, ніж витік фінансової інформації. Генетична інформація – незмінна. Вігна наголошує, що можна змінювати номери кредитних карток або навіть адреси, але генетичну інформацію змінити не можна. І генетична інформація часто розповсюджується мимоволі. «Навіть якщо людина не користувалась послугами компанії 23andMe, у неї можуть бути двоюрідні брати чи сестри, що користувалися цими послугами, тож і така особа стає генетично доступною для пошуку», – пояснює Рам.
Рам вважає за необхідне розглянути питання про те, чи мають компанії з генетичних тестувань більше етичних зобов’язань перед своїми клієнтами, і серйозно поставитись до запобігання порушенням і боротьби з ними. Приміром, у США конфіденційність медичних даних охоплюється Законом про передачу даних та облік у системі медичного страхування, але нині дія цього закону не розповсюджується на результати генетичного тестування. «Ми довіряємо споживчим компаніям, які обіцяють допомогти нам зрозуміти, ким ми є генетично, – говорить Рам. – Проте виникає багато питань, що саме вони нам повідомлять, і ще більше питань щодо застережень і захисту користувачів».
БІЛЬШЕ ЦІКАВОГО:
- Як Цукерберг 5 годин не звітував Сенату
- Нове законодавство ЄС про дані: зміни чекають не лише на веб-простір
- 4 факти, які потрібно знати про «темний» інтернет
Джерело: The Verge, переклад підготувала Ірина Гоял, спеціально для «Блог Imena.UA»