Mobilní zdravotnictví s sebou nese mnohá rizika. Přes 80 procent aplikací porušuje obecné zásady

Aplikace v telefonu nebo chytrých hodinkách sledují nejen kvalitu spánku či počet kalorií, ale znají i citlivé osobní údaje. Mobilní zdravotnictví neboli mHealth se rychle stalo běžnou součástí života. Kromě nespočtu výhod skrývá také řadu bezpečnostních rizik: „Uniklá data mohou být dlouhodobě zneužitelná například skrze sociální inženýrství a analytické projekty,“ říkají Patrik Slabý a Martin Konečný, experti z CyberSecurityPlatform.cz.

Tento článek je více než rok starý.

Praha Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Chytré hodinky. (Ilustrační foto)

Hrozbou užívání mHealth aplikací může být neopatrné chování uživatele, nízké povědomí o možných rizicích či přehnaná důvěra | Zdroj: Profimedia

„Mobilní zařízení o nás díky mHealth aplikacím mohou vědět počet nachozených kroků, metriky tepu a tlaku, kvalitu spánku, informace o poloze a typu prostředí, ve kterém se pohybujeme, údaje o platební kartě, data z fotografií, biometrické údaje,“ vyjmenovává provozovatel platformy Konečný.

Do Kataru si vezměte jednorázové telefony, radí bezpečnostní úřad. V ohrožení jsou data fanoušků

Číst článek

Kromě výše zmíněných vychytávek umí mHealth aplikace diagnostikovat pacienta z pohodlí domova, zavolat záchranku, naplánovat návštěvu u lékaře, sledovat menstruační cyklus anebo dokonce napomoci k vyřešení vraždy.

Před několika měsíci byl totiž Richard Dabate z Connecticutu odsouzený k 65 letům ve vězení za vraždu své ženy z roku 2015. Jeho výpovědi se neslučovaly s daty, které vyšetřovatelé našli v jejích hodinkách FitBit od společnosti Google, které ukázaly, že byla naživu hodinu poté, co její manžel uvedl, že byla mrtvá.

Některé mHealth aplikace zase slouží jako psychická podpora. Na sociálních sítích se můžou pacienti spojit s lidmi se stejnou diagnózou a utvářet tak komunitu, která se vzájemně podporuje. 

Z pohodlí domova

V neposlední řadě některé z nich působí jako psychoterapeut. Pomocí aplikace Woebot si s virtuálním chatbotem můžete povídat bez větší námahy. Podle studie Stanfordské univerzity tato umělá inteligence viditelně snížila symptomy deprese a úzkosti věkové skupiny 18-28 let.

Evropská komise má ke zdravotním aplikacím nejen díky výše zmíněným benefitům velmi kladný vztah a vidí v nich pozitiva. „Mobilní zdravotnictví omezí nákladné konzultace v nemocnicích, pomůže občanům, aby se aktivně starali o své zdraví a dobrou kondici a zaměří se více na prevenci. Je rovněž velkou příležitostí pro vzkvétající odvětví aplikací a pro podnikatele,“ prohlásila Neelie Kroesová, místopředsedkyně Evropské komise odpovědná za digitální agendu v roce 2014.

Komise však bere v potaz i četné problémy, které jsou s mHealth spojené. Z toho důvodu v roce 2016 publikovala návrh Kodexu chování v oblasti ochrany soukromí v těchto aplikacích. Poté, co následovaly ze strany pracovní skupiny zřízené podle článku 29 směrnice o ochraně osobních údajů mnohé výtky, kodex nebyl přijatý.

Cíl zájmových skupin

Potencionální hrozbou užívání mHealth aplikací může být neopatrné chování uživatele, nízké povědomí o možných rizicích či přehnaná důvěra. Mobilním aplikacím mají lidé tendenci sdělovat až příliš právě proto, že mají paradoxně větší pocit bezpečí. 

Citlivá data o našem zdravotním stavu jsou velmi často cílem zájmových skupin, útočníky motivuje hlavně cena za prodej dat. Při analýze více než 20 tisíc mHealth aplikací dostupných na trhu Google Play výzkumníci British Medical Journal zjistili, že 88 procent z nich porušilo všechny zásady bezpečného vývoje kódu.

„Došlo k implementaci hardcodovaných API klíčů. Je to prostředník mezi aplikacemi, který definuje, jak spolu mohou vyměňovat informace,“ vysvětluje Patrik Slabý.  Podle dalšího reportu je 30 nejoblíbenějších zdravotních aplikací na trhu vůči kybernetickým útokům extrémně zranitelných.

Soukromí nelze získat zpět

„Pacienti si jednoduše neuvědomují, že jejich genetické, reproduktivní zdraví, poruchy související s užíváním návykových látek nebo informace o jejich duševním zdraví mohou být použity způsoby, které v důsledku omezí jejich přístup ke zdravotnímu pojištění, nebo může být zveřejněno jejich zaměstnavatelům“, říká doktor Jesse M. Ehrenfeld, anesteziolog a předseda představenstva Americké zdravotnické asociace. „Soukromí pacientů nejde získat, když je ztraceno,“ podotýká.

Uniklá data mohou být dlouhodobě zneužitelná například skrze sociální inženýrství a analytické projekty. Zároveň poškozují reputaci nejen aplikací, ale podle odborníků z Cyber Security Platform lze mluvit o celoplošné nedůvěře. „Nikdy by se nemělo stát, že bude narušena důvěra uživatelů ve zdravotní systémy a systémy s nimi spojované,“ tvrdí oba zástupci. 

Kyberútok na nemocnici v Benešově způsobil škodu přes 59 milionů. Pachatele se vypátrat nepodařilo

Číst článek

Podle ředitele Národního ústavu pro kybernetickou bezpečnost Lukáše Kintra je oblast zdravotnictví jedním z nejčastějších cílů kybernetických útoků. Kvůli stejné chybě, o níž referuje British Medical Journal, se terčem stalo i sousední Slovensko. V roce 2020 došlo k masivnímu úniku zdravotnických informací 130 tisíc jmen a rodných čísel z aplikace Moje eZdravie.

„České aplikace používané při pandemii covid-19, jmenovitě Tečka a čTečka, podle HackingLabu naopak všechny zásady bezpečného vývoje dodržely a zaslouží si velkou pochvalu,“ podotýkají experti Cyber Security.

To ale neznamená, že hrozba úniku dat pro české uživatele neexistuje. Připomeňme ransomwarové útoky na nemocniční zařízení, třeba případ Fakultní nemocnice Brno nebo Psychiatrické nemocnice v Kosmonosech, které v posledních letech rezonovaly v médiích. „Přivádí nás to k zamyšlení, jestli když české zdravotnictví neumí zabezpečit užité technologie, zda umí zabezpečit mHealth aplikace,“ shodují se Slabý s Konečným.

Prodej dat třetím stranám

Vysvětlují, že aplikace, které se staly běžnou součástí každodenního života, shromažďují také pomocná data. „Slouží pro potřeby správné funkcionality aplikace, ale i pro marketingové účely. Ty potom přispívají k optimalizaci nastavení, jak se má aplikace zobrazovat nebo jak má fungovat,“ popisují.

Většina zdravotních aplikací je dostupná ke stažení zdarma. Jejich tvůrci ale z čisté filantropie nepracují. Data evropské studie z roku 2018 udávají, že přes 80 procent mHealth aplikací poskytuje data třetím stranám a jen necelá polovina z nich používá při těchto přenosech zabezpečené připojení HTTPS6.

„Dělat by to neměly. Děje se to však? Děje. V praxi se setkáváme s případy, kdy je možnost předávání třetím stranám, tedy možná i pro komerční účely, zapsaná v podmínkách pro zpracování osobních údajů,“ popisují experti. Zdůrazňují, že společnosti by tyto údaje měly uvádět na počátku nebo je pro uživatele alespoň zvýraznit.

Nové regulace

Podle Marka Valy z NÚKIB pod českou regulaci kybernetické bezpečnosti aplikace nespadají. V Evropské unii se na ně zatím uplatňuje Obecné nařízení o ochraně osobních údajů (GDPR), o jehož efektivitě a přínosu se vedou rozsáhlé diskuse. Podchytit všechna možná rizika je díky faktu, že už v roce 2017 bylo evidováno přes 325 tisíc mHealth aplikací s meziročním nárůstem 75 tisíc, takřka nemožné. Experti na kybernetickou bezpečnost ale budoucnost vidí optimisticky: „S příchodem evropské směrnice NIS2 je možné očekávat, že budoucí verze kybernetického zákona bude s největší pravděpodobností regulovat i provozovatele mHealth. Dále se můžeme těšit na regulaci Cyber Resilience Act, která se na tyto produkty bude také zaměřovat.“

Ostražití by měli být hlavně samotní uživatelé, a to i při instalaci aplikací. Pozornost by měli věnovat zejména tomu, odkud aplikaci stahují, k čemu si žádají přístup a jaká data poskytují. „Nic si však nenalhávejme, tuto část vynechává většina uživatelů,“ přiznává Konečný.

Napravení reputace

Příkladem prodávání citlivých dat můžou být například mobilní aplikace sledující menstruační cyklus.

V minulosti byly nařčeny, že ohrožují bezpečnost amerických žen, které otěhotněly a chystaly se těhotenství ukončit. Kvůli zrušenému precedentu Roe vs Wade, který v platnost vstoupil 24. července 2022 ve Spojených státech, přestalo platit federální právo na potrat a o osudu žen a dívek začaly rozhodovat jednotlivé státy samy.

O jedné z těchto aplikací, Flo, se v roce 2019 zjistilo, že prodávala data více než 100 milionů uživatelů společnosti Facebook.

Když měla uživatelka aplikace menstruaci nebo aplikaci sdělila, že chce otěhotnět, Flo uvědomila i sociální síť, která následně rozjela marketingovou kampaň a personalizovala obsah na síti tak, aby vedl k profitu, informoval Wall Street Journal.

Firma založená v roce 2015 bratry Yurim a Dmitrim Gurskiovými z Běloruska cenné osobní údaje dodávala i Googlu, marketingové společnosti AppsFlyer a analytické společnosti Flurry.

Po rozhodnutí soudu zrušit zákon Roe vs Wade aplikace vydali tvůrci aplikace prohlášení, ve kterém uživatelky ujišťovali, že jejich data neprodají a aplikaci vylepšili takzvaným anonymním módem. Ačkoliv se Flo snaží o nápravu reputace, mnoho uživatelů přechází k alternativám.

Kombinace několika faktorů

Zda a jestli vůbec se uživatelé proti zneužití těch nejcitlivějších dat můžou bránit, zůstává otázkou. „Proti zranitelnostem, které jsou součástí aplikace, případně jejích API, toho běžný uživatel moc nezvládne,“ říkají odborníci Cyber Security Platform. Bezpečný vývoj aplikací je podle nich plně v kompetenci a na odpovědnosti jejich výrobce.

Česko se připravuje na přijetí evropské směrnice o kybernetické bezpečnosti, dotkne se asi 6000 subjektů

Číst článek

Patrik Slabý a Martin Konečný ale zmiňují potřebu zvyšování obecného povědomí o kybernetické bezpečnosti. Vzdělávací programy sloužící jako osvěta nabízí například NÚKIB a několik dalších neziskových organizací.

Možnost tvrdších regulací a sankcí prý ale existuje vždy. „To je ale pouze razantní řešení, v mnoha případech reaktivní,“ vysvětlují. Podle nich je důležité k problematice přistupovat preventivně.

„Předcházet incidentům s úniky dat můžeme pomocí kombinace několika faktorů: učit vývojáře bezpečnost vývoje, u provozovatelů prosadit bezpečnostní testování aplikací, podpořit nadějné projekty a v neposlední řadě vzdělávat uživatele,“ vysvětlují.

Pokud přece jen dojde k bezpečnostnímu incidentu, uživatelé by neměli otálet s podniknutím právních kroků – mnohdy v podobě hromadné žaloby. 

Žaneta Levíčková Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme