Статьи

Почему мы боимся безопасности приложений для здоровья и фитнеса

Приложения для здоровья и фитнеса изменили то, как мы тренируемся, едим и даже спим. Существуют сотни тысяч этих разнообразных приложений — более 165 000 по последним данным.

Хотя эти приложения серьезно относятся к подсчету наших калорий и отслеживанию циклов сна, очень немногие из них относятся к безопасности так серьезно, как следовало бы. Невероятные 90% мобильных медицинских приложений имеют серьезную угрозу безопасности . Учитывая богатство ценной медицинской и личной информации, которую могут содержать эти приложения, это вызывает беспокойство — приложение, которое достаточно умен, чтобы подсчитывать шаги пользователей или напоминать им о необходимости принимать лекарства от артериального давления, может оставлять этих пользователей (и их личную информацию) уязвимы для хакеров.

Если этого было недостаточно, исследование форума Future of Privacy показало, что только 60% приложений для здоровья и фитнеса имеют политику конфиденциальности; по сравнению с 76% общих приложений.

Какие последствия это имеет для тех из нас, кто разрабатывает приложения для здоровья и фитнеса для лояльных и доверчивых пользователей? Мы подвергаем опасности потребителей, если они используют наши приложения, чтобы вести журнал еды или контролировать их циклы быстрого сна? Как мы можем обеспечить безопасность и конфиденциальность информации наших клиентов, в то же время предлагая первоклассные цифровые инструменты для их здоровья и хорошего самочувствия?

Риски использования приложений для здоровья и фитнеса

Чтобы проиллюстрировать риски, с которыми может столкнуться конечный пользователь при использовании приложений для здоровья и фитнеса, рассмотрим пример Glow.

Glow — приложение для отслеживания периода и рождаемости. Как и многие приложения для здоровья, он запрашивает у пользователей конфиденциальную личную информацию, включая сведения об их менструальном цикле, а также информацию о весе, лекарствах, истории абортов и многом другом.

Когда Consumer Reports проверил функции безопасности и конфиденциальности приложения, оно обнаружило ряд уязвимостей. Некоторые из этих уязвимостей предоставили хакерам возможность доступа к паролям и адресам электронной почты, а также один конкретный недостаток, который мог позволить «человеку, не имеющему навыков хакерства вообще», получить личную информацию пользователя. Представьте себе, как сталикеры, хулиганы в Интернете или даже воры-личности могут использовать эту информацию для нанесения вреда пользователям Glow.

Glow с тех пор исправил проблемы безопасности и не нашел никаких доказательств того, что приложение было взломано (к счастью). Это предостерегающая история, в которой освещаются проблемы безопасности и конфиденциальности, возникающие во многих приложениях для здоровья и фитнеса, которые запрашивают личные данные о жизни пользователей. Представьте себе, если один человек — только один — стал жертвой кражи личных данных из-за надзора за безопасностью Glow. Требуется только одна уязвимость, один хакер и информация одного несчастного пользователя, скомпрометированная для вашего приложения, чтобы быстро потерять доверие потребителей и авторитет.

Проблемы с безопасностью

Glow — далеко не единственное приложение, имеющее уязвимости — на самом деле, эти недостатки безопасности являются скорее нормой, чем исключением. Невероятно, но более 80% медицинских приложений уязвимы как минимум к двум из 10 основных рисков для мобильных устройств . Это включает приложения, одобренные Управлением по контролю за продуктами и лекарствами США (FDA).

Для конечных пользователей может показаться шокирующим, что так много приложений, предназначенных для благополучия пользователей, не имеют личной безопасности. Но для разработчиков, создающих эти приложения, тот факт, что половина всех компаний не имеет бюджета на безопасность мобильных приложений, не вызывает удивления. Разработчики уже давно сталкиваются с трудностями в создании функционального продукта в сжатые сроки, без достаточного времени и средств, выделенных для обеспечения его безопасности. Хуже того, если учесть, что почти 12 миллионов мобильных устройств заражены вредоносным кодом в любой момент .

Когда Veracode опросил 200 руководителей ИТ- отделов здравоохранения , они сказали, что их главный страх, связанный с взломом системы безопасности, может привести к гибели людей. В зависимости от приложения для здоровья и характера кибератаки, это не является абсолютно необоснованной проблемой.

Вопросы конфиденциальности

Удивительно, но платные медицинские приложения зачастую хуже, чем бесплатные приложения, предлагая политики конфиденциальности, согласно форуму Future of Privacy. Их исследователи обнаружили, что только 66% приложений для отслеживания сна имеют политику конфиденциальности. Отслеживание периода и рождаемости было лучше, с 80% предлагая политику конфиденциальности. Однако даже когда у приложений были политики конфиденциальности, они не всегда ссылались на них в магазине приложений. Это затрудняет пользователям даже поиск политик конфиденциальности, а тем более их чтение и понимание.

Отсутствие политики конфиденциальности должно быть красным флагом как для пользователей, так и для разработчиков — без него вы указываете своим потребителям, что нет никаких ограничений на то, как ваша компания будет использовать их данные, и нет гарантии того, что они будут конфиденциальными. Многие приложения для здоровья продают свои данные, как правило, маркетологам — огромное отключение для большинства потребителей.

Все больше и больше пользователей узнают, что даже классическая оговорка «мы не будем продавать вашу информацию» в политике конфиденциальности приложения не является гарантией конфиденциальности. Передача информации между партнерами, торговыми активами и другими действиями не всегда считается «продажей».

Если этого было недостаточно, есть опасения, что медицинские страховые компании могут получить данные приложений и соответствующим образом скорректировать взносы. Исследование, проведенное в 2013 году, показало, что лучшие фитнес-приложения, в том числе WebMD и iPeriod, передают информацию в 70 различных сторонних компаний. Не каждое приложение анонимизировало информацию , и исследование показало, что эти данные могут попасть в фармацевтические и страховые компании. Хлоп.

Как HIPAA защищает нашу личную информацию, а что нет

Медицинские работники руководствуются Законом о мобильности и подотчетности медицинского страхования (HIPAA), в котором содержатся положения о конфиденциальности и безопасности данных для защиты медицинской информации. Это означает, что информация, которую человек дает своему врачу и медицинскому страховщику, является очень безопасной и конфиденциальной.

Для приложений это не всегда так. Часто неясно, какие приложения подпадают под действие HIPAA, а какие нет, но большинство этого не делают. Поскольку разработчики приложений и маркетологи не обязательно охватываются HIPAA, лишь немногие из них имеют строгие меры предосторожности для обеспечения безопасности и конфиденциальности личной информации.

В США регуляторы пытаются не отставать от нового мира мобильного здравоохранения. В 2013 году новое правило HIPAA расширило права отдельных лиц в отношении электронных медицинских карт (эта политика не затрагивает разработчиков приложений за пределами США). Это шаг в правильном направлении, но он недостаточно далеко защищает пользователей незащищенных приложений для здоровья и фитнеса. Требуется больше регулирования и предосторожности от самих разработчиков приложений. Когда вы создаете и продаете приложение, которое собирает личные данные, вы держите безопасность своих пользователей в своих руках; и они доверяют вам защитить эти данные. Разработчики несут ответственность перед своими потребителями за принятие соответствующих мер по обеспечению безопасности своих приложений.

Пользователи будут все чаще искать приложения, совместимые с HIPAA и имеющие четкие политики конфиденциальности в отношении использования личных данных. Как группа, потребители имеют огромные возможности, чтобы показать разработчикам приложений, что они не готовы полностью взаимодействовать с приложениями, не имеющими политики конфиденциальности; и показать нашему правительству, что соответствие HIPAA в наших мобильных приложениях имеет такое же значение, как и в кабинетах наших врачей.

С точки зрения безопасности, разработчики приложений были бы целесообразны:

  • Будьте в курсе о рисках разработки приложений, которые не имеют безопасности
  • Взять на себя ответственность за конфиденциальность личных данных, которые пользователи отправляют в приложение
  • Следуйте правилам, изложенным в HIPAA, если приложение связано со здоровьем пользователей

Мало кто, скорее всего, перестанет использовать свои приложения для здоровья и фитнеса в ближайшее время (что вы ожидаете от меня, подсчитывая мои ежедневные шаги на бумаге?). Но по мере того, как пользователи становятся более осведомленными о рисках использования этих приложений, разработчики, которым не хватает надлежащей безопасности и конфиденциальности, получат удар — как по своей прибыли, так и по лояльности потребителей. Если разработчики приложений будут более осведомлены о рисках для своих пользователей, они могут сосредоточить усилия на том, чтобы сделать приложения более безопасными и более безопасными, и показать своим пользователям, что они не воспринимают эту ответственность несерьезно.