Waarom persoonlijke medische informatie meer waard is dan financiële gegevens

2016-09-14 Zeekhoe - Fortinet-25_410x615

Misbruik van persoonlijke data is een wereldwijd probleem, en daarom eisen we dat deze informatie beschermd wordt als we deze delen. Wereldwijd worden er wettelijke eisen gesteld aan de bescherming van persoonsgegevens. In Nederland geld de Wet bescherming persoonsgegevens, vanaf volgend jaar is hier de Europese privacywetgeving (de Algemene verordening gegevensbescherming) van kracht. In Canada bijvoorbeeld, zijn er twee belangrijke wetten voor de bescherming van persoonsgegevens: de Privacy Act, die van toepassing is op ministeries en overheidsinstellingen die met persoonsgegevens omgaan, en de Personal Information Protection & Electronic Documents Act (PIPEDA).

Deze wetten en normen (en vergelijkbare richtlijnen) zijn in het leven geroepen om vertrouwen te creëren tussen de eigenaars van persoonsgegevens en de bedrijven die daar gebruik van maken. Helaas zien we elke dag gevallen waarin dit vertrouwen wordt geschonden. Dat gebeurt bewust, zoals Facebook die de gebruikersgegevens van Whatsapp koppelt, of door slechte databeveiliging, waardoor bedrijven (en hun klanten) slachtoffer worden van gegevensdiefstal.

Als we de wereld van gestolen persoonsgegevens induiken, blijkt de prijzen voor de gegevens flink uiteenlopen. De prijs is afhankelijk van zaken als het type data, de hoeveelheid informatie die wordt aangeschaft en de herkomst van de verzamelde gegevens. Hoewel de prijzen verschillen, is het mogelijk om een ruwe schatting te maken van de huidige waarde van persoonsgegevens. Creditcardgegevens kan je kopen voor 0,50 dollar per creditcard. Als deze gegevens de naam van de kaarthouder, de PIN-code en andere belangrijke informatie omvatten, stijgt de waarde tot tussen de 2 dollar en 2,50 dollar per creditcard.  Medische dossiers zijn interessanter voor cybercriminelen, en brengen momenteel 10 tot 20 dollar per eenheid opbrengen. Ten opzichte van bankrekeninggegevens zijn deze prijzen relatief stabiel en betrouwbaar. Het lijkt erop dat cybercriminelen medische dossiers een intrinsiek hogere waarde toekennen dan de meer voorkomende typen financiële gegevens. Er zijn verschillende redenen waaróm medische gegevens zoveel meer waard zijn dan bankgegevens.

Problemen rond financiële gegevens

Als we de diefstal en verkoop van financiële gegevens analyseren, komen er direct een aantal problemen aan het licht. Het belangrijkste probleem houdt verband met de bruikbaarheidsduur van creditcardgegevens/pincodes en bankrekeninggegevens. Fraudedetectie, de snelheid van detectie en opsporingsmogelijkheden zijn de drie grootste problemen waarmee dieven van financiële gegevens te maken krijgen.

Fraudedetectie

Banken houden zich dagelijks bezig met fraudedetectie. De meeste creditcardhouders onder ons zullen weleens in een situatie zijn beland waarin ze hun creditcard niet konden gebruiken, omdat er een afwijking gesignaleerd werd wat betreft transactielocatie en transactiebedrag (bijvoorbeeld een duur cadeau op een ver vliegveld). Dan gaan de fraudepreventieregels in werking, en duurt het erg lang voordat de transactie wordt goedgekeurd.

De meeste banken bieden creditcardhouders fraudewaarschuwingen aan. Veel kaarthouders maken gebruik van aparte creditcards voor zakelijk en privégebruik, die in sommige gevallen door verschillende banken zijn verstrekt.

Banken hebben uiteraard baat bij het terugdringen van de kosten van fraude ten aanzien van de rekeningen die zij beheren. Ook toezichthouders dragen hun steentje bij aan fraudepreventie. Ze voeren de druk op kaartverstrekkers op om moderne technologieën in te zetten voor het ontwikkelen van fraudedetectieregels en het verzenden van waarschuwingen naar kaarthouders. En ook consumenten stellen hoge eisen aan de toepassing van financiële beveiligingsmechanismen. Om concurrerend te kunnen blijven moeten banken zien te voldoen aan de verwachtingen van de markt, toezichthouders en consumententrends. Fraudedetectie vormt een middel voor banken om zich van de concurrentie te onderscheiden vanuit het perspectief van kosten en consumentenvertrouwen.

Chip- en pinsystemen helpen ook mee in de strijd tegen fraudeurs. Hoewel het mogelijk is om creditcardgegevens en pincodes via internet aan te schaffen, bevat de chip van creditcards ook allerhande informatie waar criminelen mogelijk geen weet van hebben. Deze informatie wordt geverifieerd op het moment dat er een transactie plaatsvindt. Sommige verificatiemechanismen controleren het serienummer van de chip en de creditcardgegevens en verzenden die naar de bank alvorens geld van de rekening te schrijven. Er is dus sprake van diverse potentiële struikelblokken voor het onbevoegd gebruik van creditcards.

Snelheid van detectie

We zijn inmiddels in staat om razendsnel verdachte financiële transacties te signaleren. Zoals eerder gezegd worden creditcardtransacties vrijwel direct bij de kaarthouder gemeld. En voor onze bankrekening kunnen we drempelwaarden voor transactiewaarschuwingen instellen. Zo is het mogelijk om transacties te laten blokkeren op basis van het transactiebedrag, de aankooplocatie, het tijdstip van aanschaf en andere parameters, die stuk voor stuk door de rekeninghouder kunnen worden aangepast. Het is mogelijk om rekeningen te laten bevriezen totdat het verdachte gedrag op juiste wijze is gemeld, geanalyseerd en ondervangen.

In het verleden ontvingen we in het geval van frauduleuze activiteit een e-mailbericht met een rekeningoverzicht. Daarop moesten er dagenlang gegevens worden verzameld, informatie ingediend en gewacht tot de rekening was aangezuiverd. Inmiddels worden bankrekeningen en creditcards simpelweg geblokkeerd totdat het probleem is opgelost. Als er frauduleuze handelingen hebben plaatsgevonden, krijgen we ons geld terug en kunnen we in de kortste keren weer gebruikmaken van onze rekening.

Opsporingsactiviteit

Financiële instellingen zijn in het geval van fraude staat om geldstromen tussen bankrekeningen met een hoge mate van nauwkeurigheid te traceren. In het eerdergenoemde voorbeeld duurde het niet bijster lang voordat de dader was geïdentificeerd en in de cel belandde. Het digitale spoor voerde duidelijk naar de persoon in kwestie. Klanten hadden bij hun bank gemeld dat hun rekening was geplunderd, waarop de banken aangifte deden bij de politie. De banken werkten samen met opsporingsambtenaren om de overschrijvingen te traceren en waren in staat om diverse personen te arresteren die bij de diefstal betrokken waren. Er hoefde slechts één persoon te praten om het brein achter de verkoop van de rekeninggegevens te identificeren. Het spoor dat naar de criminelen terugvoerde was relatief makkelijk in kaart te brengen.

Als we vanuit deze drie perspectieven naar bankrekening- en creditcardgegevens kijken, blijkt dat deze informatie een uiterst beperkte bruikbaarheidsduur heeft en gepaard gaat met een hogere pakkans. Deze vorm van fraude gaat gepaard met veel risico en kan daarom het beste worden overgelaten aan amateurs of criminelen met weinig fantasie.

Medische dossiers bevatten een schat aan informatie

Medische dossiers bevatten volledige namen, ouderlijke informatie, burgerservicenummers, adressen, telefoonnummers, informatie over familieleden en allerlei andere persoonsgegevens. Deze informatie vertegenwoordigt waardevolle input voor diverse vormen van cybercriminaliteit. De afgelopen twee jaar is het aantal gevallen van identiteitsdiefstal tijdens het belastingaangifteseizoen verdubbeld. Het enige wat een crimineel nodig heeft om een frauduleuze belastingaangifte in te dienen, is een geldig(e) naam, burgerservicenummer en adres. Medische dossiers bevatten een rijkdom aan persoonsgegevens die voor diverse frauduleuze activiteiten kunnen worden ingezet. Deze informatie kan direct worden gebruikt of indirect voor een breder scala aan cybermisdaden. Daarover straks meer.

Een lange bruikbaarheidsduur

Zoals eerder gezegd hebben bankrekening- en creditcardgegevens een zeer korte bruikbaarheidsduur voor fraudeurs. Dat is heel anders in het geval van medische dossiers. Het kan maanden duren voordat de diefstal van medische dossiers wordt ontdekt, en nog langer om de betrokkenen daarvan op de hoogte te stellen. Dat betekent dat cybercriminelen de dossiergegevens tot in het detail kunnen analyseren op een uiterst relaxed tempo.

Beperkte herstelmogelijkheden

Wanner bankrekening- of creditcardgegevens worden gebruikt om fraude te plegen, verloopt het herstelproces relatief simpel. De financiële instelling blokkeert simpelweg het gebruik van de kaart en verstrekt een nieuwe kaart, wijzigt de wachtwoorden voor de rekening of sluit de huidige rekening en opent een nieuwe rekening voor de klant. Als een medisch dossier wordt gestolen is het extreem moeilijk, zo niet onmogelijk om de schade ongedaan te maken. De kans is groot dat uw naam, burgerservicenummer, adres, telefoonnummer, bloedgroep en andere persoonsgegevens niet veranderen. De enige mogelijkheid die u dan nog rest, is om samen te werken met kredietbeoordelaars. Deze kunnen u attent maken op verdachte activiteiten zoals verzoeken om leningen, het openen van bankrekeningen of het aanvragen van creditcards op uw naam. Het kan helpen om overheidsinstanties en de politie op de hoogte te stellen van het frauduleus gebruik van uw persoonsgegevens, maar in dat geval bent u zeer reactief bezig. Want als uw medisch dossier eenmaal is gestolen, heeft de informatie vanuit het perspectief van cybercriminelen een bijzonder lange bruikbaarheidsduur.

Correlatie met werk

Medische dossiers bevatten naast namen, adressen, telefoonnummers en andere persoonsgegevens ook andere bijzonder waardevolle informatie. Als de persoon in kwestie is verzekerd op basis van een collectieve bedrijfsverzekering, kunnen cybercriminelen aan de hand van de combinatie van getallen en letters van het polisnummer relatief eenvoudig andere dossiers met hetzelfde polisnummer vinden.

Zodra de cybercriminelen over deze informatie beschikken, kunnen ze de digitale kaartenbak met medische dossiers verder uitpluizen om met nog grotere waarschijnlijkheid verbanden tussen personen te identificeren. De eenvoudigste methode is om de landcode en het kengetal van telefoonnummers met elkaar te vergelijken. Het is ook relatief simpel om privéadressen met elkaar in verband te brengen en mensen te vinden die elkaar met nog grotere waarschijnlijkheid kennen. Mogelijk carpoolen ze zelfs samen.

Vervolgens is het voor cybercriminelen relatief eenvoudig om social engineering-technieken (virtuele babbeltrucs) in te zetten om een situatie te creëren waarbij er malware in de ICT-omgeving wordt achtergelaten. Cybercriminelen kunnen bijvoorbeeld een e-mailbericht van een vriend bij een ander bedrijf nabootsen en daar een kwaadaardige bijlage meesturen. Ze kunnen zelfs vaststellen bij welke afdeling de ontvanger werkt (bijv. de financiële afdeling, personeelszaken, postkamer enzovoort) en die informatie gebruiken om een op maat toegesneden malware-pakket aan te leveren. Dergelijke gerichte cyberaanvallen hebben een grote kans van slagen.

Vincent Zeebregts, Country Manager Fortinet Nederland