L'operatore del sistema My Health Record ha affermato che è "probabile" che in due occasioni il portale myGov del governo federale sia stato utilizzato per condurre frodi Medicare.
Nel suo rapporto annuale, l’Australian Digital Health Agency (ADHA), l’agenzia responsabile della supervisione di My Health Record, ha rivelato una manciata di eventi in cui la sicurezza del contenzioso il sistema di cartelle cliniche era compromesso.
Il rapporto, pubblicato a novembre, rivelava che erano state segnalate 38 questioni all'Ufficio australiano Commissario per le informazioni (OAIC) durante l'anno in merito a potenziali accessi non autorizzati, sicurezza o integrità violazioni.
37 di queste questioni sono state considerate violazioni e l'ADHA ha affermato che la maggior parte era il risultato di tali violazioni errori amministrativi come record Medicare "intrecciati" o errori di elaborazione durante la creazione documenti per neonati.
Tre riguardavano l'accesso non autorizzato alla cartella clinica personale di un individuo. Uno degli incidenti di accesso non autorizzato è stato il risultato dell'assegnazione del genitore sbagliato a un bambino.
In violazione dei documenti informativi, resi pubblici ai sensi dell'art Legge sulla libertà d'informazione del 1982, l'ADHA ha dettagliato ulteriormente i casi, rivelando due casi in cui sono state avanzate richieste fraudolente.
L'ADHA ha affermato che era "probabile" che il 23 settembre 2013 il portale myGov del governo federale sia stato utilizzato per condurre frodi Medicare. ADHA è venuta a conoscenza della violazione il 16 novembre 2017.
Guarda anche: Il nuovo progetto di corrispondenza dei dati di Centrelink prende di mira le frodi Medicare
"A seguito della segnalazione del Dipartimento dei Servizi Umani che le informazioni fraudolente relative alle richieste Medicare sono state inviate a My Health Record, l'Operatore del sistema esamina tutti informazioni transazionali relative a quel record per determinare se si è verificata qualsiasi altra attività online, ad esempio l'accesso o la visualizzazione delle informazioni contenute nel record," spiegato.
"In questo caso, le prove indicano che è probabile che il My Health Record sia stato creato utilizzando l'account myGov utilizzato per condurre la frode online di Medicare.
"Poiché non è possibile stabilire in modo definitivo che entrambe le azioni siano state eseguite da terzi e non dal consumatore stesso, l'operatore del sistema sta notificando all'OAIC una potenziale violazione dei dati."
Al consumatore interessato sono stati esposti i dati demografici, inclusi nome, indirizzo, data di nascita e informazioni su Medicare.
L'ADHA ha affermato di aver anche tentato di contattare il consumatore interessato, ma la posta è stata "restituita al mittente".
In un altro caso "probabile" di frode Medicare, l'incidente è avvenuto il 28 marzo 2014 e il ADHA ne è venuta a conoscenza il 16 novembre 2017, lo stesso giorno del primo potenzialmente fraudolento attività.
"La violazione è stata potenzialmente causata da una persona diversa dal legittimo proprietario del My Health Record che ha creato e avuto accesso a My Health Record", ha scritto.
Fornendo ulteriori dettagli sulle violazioni incluse nel suo rapporto annuale, l'ADHA ha affermato che quella avvenuta il 27 agosto 2014 quando un il genitore ha contattato la linea di assistenza My Health Record per registrare il figlio e stabilire il genitore come autorizzato rappresentante.
"Un funzionario di servizio [del Dipartimento dei Servizi Umani] che agisce in qualità di delegato dell'Operatore di sistema ha erroneamente registrato a bambino per un My Health Record con la propria identità e ha anche avuto accesso al record al termine del processo," ADHA disse.
"Una volta completato il processo di registrazione, gli operatori del servizio non sono autorizzati né obbligati ad andare oltre la schermata di destinazione La Mia Cartella Sanitaria che si presenta al termine del processo. In questo caso, l'ufficiale ha cliccato sul pulsante La mia cartella clinica e ha ottenuto l'accesso alla cartella."
Secondo l'ADHA, erano coinvolte solo le informazioni demografiche del bambino poiché all'epoca non c'erano ulteriori documenti nel loro My Health Record.
Sebbene l’incidente sia avvenuto nel 2014, l’ADHA ne è venuta a conoscenza solo nel maggio 2018, quando un audit “casuale” condotto dal Gestore nazionale delle infrastrutture ha scoperto un "piccolo numero di casi" di tali errori registrazioni.
"Dopo un ulteriore esame di ciascuna di queste registrazioni, è stata identificata questa violazione", ha affermato.
Un'altra violazione si è verificata il 18 aprile 2017 ed è stata riscontrata nell'ottobre successivo quando un consumatore aveva segnalato di aver ricevuto una tessera Medicare con sopra il nome di un bambino che non era il suo.
"Dagli accertamenti del gestore del sistema è emerso che il bambino era stato precedentemente registrato in My Health Record con questo consumatore erroneamente assegnato come suo rappresentante autorizzato e aveva avuto accesso alla cartella clinica personale del bambino una volta," Ha detto ADHA.
Anche il record di questo bambino non conteneva dettagli, ma le sue informazioni demografiche sono state rese disponibili al genitore assegnato erroneamente a seguito della violazione.
"Il Dipartimento dei Servizi Umani elabora il modulo di registrazione del neonato Medicare che include un'opzione per i genitori di registrare il loro neonato per un My Health Record", ha detto l'ADHA, spiegando il violazione.
"Il modulo è stato elaborato in modo errato il 14 gennaio 2017 per cui la cartella clinica personale del bambino è stata collegata a una persona non imparentata come suo rappresentante autorizzato. La violazione è stata causata dall'accesso errato del rappresentante al documento. La registrazione è stata corretta il 10 novembre 2017."
COPERTURA CORRELATA
La mia cartella clinica "viola" principalmente correggendo i record Medicare non corrispondenti
Le violazioni sono state per lo più il risultato di un’attività di integrità dei dati avviata da Services Australia per identificare i record Medicare intrecciati, piuttosto che di accessi non autorizzati per attività nefaste.
Il governo tira fuori la scusa del censimento e incolpa l'incidente di myGov su DDoS
Il carico di MyGov è di soli 55.000 utenti simultanei e qualsiasi cosa in più è considerata un attacco di negazione del servizio distribuito da parte del ministro per i servizi governativi Stuart Robert.
Conformità informatica minima di terze parti per My Health Record saltata: Audit Office
Invece di eseguire test rispetto al Manuale sulla sicurezza delle informazioni del governo australiano, i fornitori firmano un modulo in cui dichiarano di essere conformi.
Reidentificazione possibile con i dati aperti Medicare anonimizzati e PBS australiani
Utilizzando informazioni pubbliche, un team di ricercatori dell'Università di Melbourne ha affermato di reidentificare sette importanti australiani in un set di dati medici aperto.