בכלכלה הדיגיטלית של היום, יש אפליקציה לכל דבר בערך. אחד התחומים שפורח במיוחד הוא תחום הבריאות, החל מאפליקציות למעקב אחר המחזור החודשי והפוריות וכלה באפליקציות למיינדפולנס. יש אפליקציות בריאות שנועדו לטפל כמעט בכל מצב בריאותי שהוא. למעשה, זה שוק שכבר חווה גדילה בהיקף דו-ספרתי, וצפוי להגיע לשווי מוערך של 861 מיליארד דולר עד שנת 2030.
אך שימוש באפליקציות האלה עשוי לגרור שיתוף של חלק מהנתונים הכי רגישים שיש ברשותכם. למעשה, תקנות ה-GDPR מסווגות מידע רפואי כ-״קטגוריה מיוחדת״ של נתונים, כזו שעשויה ״ליצור סיכונים משמעותיים לזכויות וחירויות הפרט הבסיסיות ביותר״ אם ישותפו. לכן הרגולטורים דורשים מארגונים לספק מספר הגנות נוספות על נתונים מהסוג הזה.
לרוע המזל, לא כל המפתחים שמים את האינטרסים של המשתמשים בראש סדר העדיפויות שלהם, או שאינם יודעים בהכרח כיצד להגן עליהם. הם עלולים להתרשל בהטמעת אמצעי הגנת נתונים מתאימים, או שלא לחשוף באופן ברור את היקף הפרטים האישיים שהם משתפים עם גופים חיצוניים. אם כן, בואו ונסקור את הסיכונים העיקריים לפרטיות ואבטחה שנוצרים משימוש באפליקציות כאלה, וכיצד תוכלו להגן על עצמכם.
מהם סיכוני הפרטיות והאבטחה העיקריים שנובעים מאפליקציות בריאות?
הסיכונים העיקריים הנובעים מאפליקציות בריאות מתחלקים לשלוש קטגוריות: אבטחת נתונים שאינה מספקת, שיתוף מופרז של נתונים, וכללי מדיניות פרטיות לא-ברורים או פולשניים.
1. סיכונים לאבטחת נתונים
אלה נוצרים בעיקר ממפתחים שלא עוקבים אחר הפרקטיקות המוכרות לאבטחת סייבר. בין הסיכונים האלה ניתן למנות:
• אפליקציות שכבר אינן נתמכות או מפסיקות לקבל עדכונים: ישנם ספקים שאין להם תוכנית מסודרת לחשיפת וניהול
פרצות אבטחה, או שאינם עוסקים בעדכון המוצרים שלהם באופן שוטף. לא משנה מה הסיבה לכך – אם תוכנה מסוימת לא
מקבלת עדכונים, ייתכן שהיא מלאה בפרצות אבטחה שפושעי סייבר יכולים לנצל כדי לגנוב את הנתונים שלכם.
• פרוטוקולים לא מאובטחים: אפליקציות שמשתמשות בפרוטוקולי תקשורת לא מאובטחים עשויים לחשוף את משתמשיהן
לסיכון של ציתות לנתונים המועברים ע״י האקרים, מהאפליקציה אל שרתי הספק שבו הם עוברים עיבוד.
• היעדר אימות רב-שלבי (MFA): רוב השירותים האמינים בימינו מציעים אימות רב-שלבי כאפשרות לשיפור האבטחה בשלב
ההתחברות לאפליקציה. ללא מנגנון כזה, האקרים יוכלו להשיג את הסיסמאות שלכם במתקפת פישינג או כחלק מהדלפה
נפרדת (אם אתם משתמשים באותה הסיסמה באפליקציות שונות), ולהתחבר כאילו הם אתם ממש.
• ניהול סיסמאות לקוי: לדוגמה, אפליקציות שמאפשרות למשתמשים להמשיך ולהשתמש בסיסמאות ברירת המחדל, או להגדיר
סיסמאות לא בטוחות כמו ״passw0rd״ או ״111111״. מצב כזה חושף את המשתמש לפריצת החשבון באמצעות ניחוש
סיסמאות ידני או אוטומטי.
• אבטחה ארגונית: בחלק מהחברות המפתחות אפליקציות ייתכנו מצבים של אמצעי ותהליכי בקרת אבטחה מוגבלים הנוגעים
לסביבת אחסון הנתונים הפנימית שלהם. זה עשוי לנבוע מהכשרה לקויה בנושא מודעות לאבטחה לעובדים, אמצעים מוגבלים
להגנה מפני נוזקות וזיהוי איומים ברשת ובתחנות הקצה, היעדר הצפנת נתונים, כלי בקרת גישה מוגבלים והיעדר תהליכים
לניהול פרצות אבטחה ותגובה לתקריות אבטחה. כל אלה מעלים את הסיכויים לכך שהארגון ייפגע מדליפת מידע.
2. שיתוף נתונים בהיקף חריג
נתוני הבריאות של משתמשים עשויים לכלול פרטים רגישים במיוחד על מחלות מין, שימוש בחומרים או תנאים אחרים שמלווים בסטיגמות. נתונים כאלה עלולים להימכר או לעבור לגורמים חיצוניים, כמו מפרסמים שישתמשו בהם לשיווק ולהצגת פרסומות ממוקדות.
בין הדוגמאות שהובאו ע״י חברת Mozilla ניתן למנות ספקי אפליקציות בריאות ש:
• משלבים בין מידע על משתמשים ובין נתונים שנרכשו מסוחרי נתונים, אתרי רשתות חברתיות וספקים אחרים כדי ליצור פרופילי
זהות מדויקים יותר.
• לא מאפשרים למשתמשים לבקש מחיקה של נתונים ספציפיים.
• משתמשים במסקנות הנוגעות למשתמשים, שנוצרו מתוך נתונים שנאספו כחלק משאלוני הרשמה השואלים שאלות חושפניות
על נטייה מינית, דיכאון, זהות מגדרית ועוד.
• מאפשרים שימוש בעוגיות Session חיצוניות המשמשות לזיהוי משתמשים ומעקב אחריהם באתרים שונים להצגת פרסומות
רלוונטיות.
• מאפשרים הקלטה של השימוש באפליקציה, הכוללת מעקב אחרי תנועות עכבר של המשתמש, גלילה והקלדה.
3. כללי מדיניות פרטיות מעורפלים
חלק מספקי אפליקציות הבריאות לא יספקו מידע ברור על חלק מפרקטיקות הפרטיות שהוזכרו למעלה, ישתמשו בשפה מעורפלת או יסתירו את פעולותיהם באותיות הקטנות של תנאי השימוש. מצב כזה עלול ליצור תחושה מוטעית של בטיחות או פרטיות בקרב המשתמשים.
כך תוכלו להגן על הפרטיות שלכם
כל אדם בוחר לסכן את עצמו במידה מסוימת. חלק ימצאו פשרה בין התאמה אישית של שירותים ופרסומות ובין הפרטיות שלהם; אחרים לא יוטרדו אם נתונים רפואיים שלהם יודלפו או יימכרו לגורמים חיצוניים. כל העניין הוא למצוא את שיווי המשקל. אם הפרטיות שלכם מדאיגה אתכם, נקטו בצעדים הבאים:
• חקרו לפני שאתם מורידים את האפליקציה. ראו מה המשתמשים אומרים עליה, ובדקו אם יש סימנים מחשידים בביקורות של
מבקרים אמינים.
• הגבילו את כמות וסוג הנתונים שאתם משתפים עם האפליקציות האלה, וצאו מנקודת הנחה שכל מידע שתשתפו איתן עשוי
להיות משותף עם גורמים חיצוניים.
• אל תחברו את האפליקציה לחשבון ברשת החברתית ואל תשתמשו בחשבון כזה כדי להתחבר לאפליקציה. כך יוגבל היקף
הנתונים המשותף עם החברות האלה.
• אל תתנו לאפליקציה הרשאות לגישה למצלמה, נתוני מיקום וכו׳.
• הגבילו את מעקב הפרסומות בהגדרות הפרטיות של המכשיר
• הפעילו אימות רב-שלבי במידת האפשר וצרו סיסמאות חזקות וייחודיות
• עדכנו את האפליקציה לגרסתה האחרונה (והבטוחה ביותר) באופן תדיר