Чому витік генетичних даних гірше витоки фінансової інформації

На початку червня 2018 року служби ізраїльської компанії Skyrock, яка займається тестуванням ДНК, виявили, що хакери зламали 92 млн облікових записів компанії.
Незважаючи на те, що хакери отримали доступ лише до зашифрованих електронної пошти і паролів і так і не досягли фактичних генетичних даних, немає ніяких сумнівів в тому, що такий тип злому стане більш поширеним, оскільки генетичні тестування набувають популярності. Чому хакери зацікавлені в отриманні інформації про ДНК? Які наслідки злому подібної інформації? Відповіді – в адаптованому перекладі матеріалу з ресурсу The Verge.
Не грошима єдиними
Однією з простих причин зацікавленості хакерів у зломі інформації про генетику людина є потенційне бажання повернути ці самі дані ДНК за викуп або продати їх, — каже Джованні Вігна (Giovanni Vigna), професор інформатики Каліфорнійського університету в Санта-Барбарі (США) і співзасновник компанії з питань кібербезпеки Lastline. Хакери можуть загрожувати анулювати доступ до інформації або розмістити конфіденційну інформацію в інтернеті, якщо їм не заплатять. Одна з лікарень штату Індіана як-то виплатила хакерам $55 000 саме з цієї причини. Але існують і інші мотиви підвищеної зацікавленості в генетичних даних.
«Ці дані можуть бути продані таємно, наприклад, страховим компаніям, – додає Вігна. – Можете собі уявити наслідки таких дій: людина подає заявку на отримання довгострокового кредиту і отримує відмову, оскільки де-то в глибині корпоративної системи містяться дані про те, що існує велика ймовірність розвитку у людини хвороби Альцгеймера і смерті до погашення позики».
Компанія Myheritage не пропонує медичних тестів, але є багато інших, наприклад, американські 23andMe або Helix, які надають такі послуги. Також існує безліч груп осіб, зацікавлених у ДНК:
дослідники прагнуть отримати генетичні дані для наукових робіт,
страхові компанії хочуть володіти генетичними даними для розрахунку вартості медичного страхування та страхування життя,
а поліція вимагає генетичних даних для відстеження злочинців.
Вже сьогодні не вистачає надійного захисту, коли мова йде про генетичну конфіденційності, і, таким чином, порушення безпеки генетичних даних може стати кошмаром. «Якщо існують дані, існує спосіб їх експлуатації», – стверджує Наталі Рам (Natalie Ram), професор права, що спеціалізується на питаннях біоетики в Університеті Балтімора, США.
Незмінна ідентифікація
Сайти, що пропонують генетичні тести, що є справжніми скарбницями конфіденційної інформації. Деякі з цих ресурсів пропонують користувачам можливість завантажити копію свого повного генетичного коду, інші – ні, але повний генетичний код – далеко не сама цінна інформація. Як зазначає Рам, ми не можемо читати генетичний код подібно книги і розуміти його. Зате хакерів цікавлять сторінки з растолкованной інформацією про здоров’я людини. Ці дані можуть бути цінними для страхових компаній, працівників різних служб і поліції. Якщо подібні дані публікуються в інтернеті, вони можуть бути використані для генетичної дискримінації людей, наприклад, для відмови в іпотечних кредитах або збільшення страхових витрат (факт того, що генетичну інформацію важко інтерпретувати, а багато людей взагалі не розуміють ймовірностей, не стає перешкодою). В майбутньому, якщо генетичні дані стануть поширеними, люди зможуть платити певну суму і отримувати доступ до генетичних даних інших осіб, подібно до того, як сьогодні можна розшукати кримінальну історію особи.
Звичайно, поліція і компанії не прагнуть активно працювати з хакерами, втім, часто джерело надходження даних може бути незрозумілим, і завжди буде існувати «чорний ринок», де можна купити або продати інформацію, або використовувати її для шантажу.
«Я не можу уявити, що, як тільки ця інформація буде зламана і розміщена в інтернеті, вона буде мати кращу ступінь захисту, – переживає Рам. – Не думаю, що ми можемо сказати, що тільки тому, що певні дані з’явилися в результаті злому, ніхто і ніколи не буде користуватися ними. Це нереалістично».
Існує й інша проблема: результати генетичних тестів часто недостовірні. Результати тестувань за станом здоров’я можуть містити помилкові позитивні результати, і навіть тести на родовід можуть бути дуже неточними. Наприклад, деякі з тестів, використовуваних компанією 23andMe, були затверджені Управлінням з контролю за харчовими продуктами і лікарськими засобами США, інші – ні. Отже, коли людина, наприклад, отримує кредитний звіт, він може легко оскаржити його, але майже ніхто не має генетичної грамотності, щоб знайти інформацію, зрозуміти її і виправити. У світі вистачає генетичних консультантів, а недавнє дослідження показало, що деякі лікарі не відчувають себе комфортно, інтерпретуючи результати.
Як довела хакерська атака на компанію Equifax в минулому році, коли були отримані номери соціального страхування половини населення США, не вистачає законодавчої бази для регулювання того, що відбувається з даними після злому.
Зрештою, витік генетичних даних значно серйозніше, ніж витік фінансової інформації. Генетична інформація – незмінна. Вігна зазначає, що можна змінювати номери кредитних карток або навіть адреси, але генетичну інформацію змінити не можна. І генетична інформація часто розповсюджується мимовільно. «Навіть якщо людина не користувався послугами компанії 23andMe, у неї можуть бути двоюрідні брати чи сестри, які користувалися цими послугами, тому і така особа стає генетично доступними для пошуку», – пояснює Рам.
Рам вважає за необхідне розглянути питання про те, чи мають компанії з генетичних тестувань більше етичних зобов’язань перед своїми клієнтами, і серйозно поставитися до попередження порушень і боротьби з ними. Приміром, у США конфіденційність медичних даних охоплюється Законом про передачу даних і облік в системі медичного страхування, але зараз дія цього закону не поширюється на результати генетичного тестування. «Ми довіряємо споживчим компаніям, які обіцяють допомогти нам зрозуміти, ким ми є генетично, – каже Рам. – Однак виникає багато питань, що саме вони нам повідомлять, і ще більше питань щодо застережень і захисту користувачів».