Intel Security heeft een nieuw rapport (PDF) uitgebracht dat inzicht biedt in de markt voor gestolen data uit de gezondheidszorg en aanverwante sectoren. Hierbij vergelijken ze de marktwaarde van gestolen medische gegevens met die van gestolen financiële gegevens.
Het onderzoek wijst uit dat de prijs per record voor gestolen medische gegevens van patiënten op dit moment lager is dan die van financiële gegevens of betalingsgegevens uit de retailsector.
Al jaren is te zien dat cybercriminelen hun ‘werkveld’ uitbreiden van financiële gegevens naar ook medische gegevens. Creditcard- en pasnummers kunnen snel geblokkeerd en vervangen worden, maar dat is niet het geval bij persoonlijke medische gegevens. Daarbij gaat het bijvoorbeeld om achternaam, de meisjesnaam van de moeder van de patiënt, BSN-nummers, verzekeringsgegevens en adresgegevens.
De gemiddelde prijs voor medische gegevens is lager dan de prijs die wordt gevraagd voor financiële gegevens. Voor financiële accountgegevens wordt tussen de $14,00 en $25,00 per record betaald; de prijs voor creditcardnummers ligt tussen de $4,00 en $5,00. Voor medische gegevens varieert de prijs tussen de $0,03 en $2,42.
Het te gelde maken van gestolen medische gegevens kost cybercriminelen meestal meer werk dan bij financiële gegevens. Na diefstal van een set medische gegevens, moet de databuit eerst geanalyseerd worden en mogelijk gekoppeld worden aan data die zijn gestolen uit andere bronnen, voordat er lucratieve mogelijkheden zijn voor fraude, diefstal of afpersing.
Financiële data bieden cybercriminelen een snellere en aantrekkelijkere ‘return on investment’. Financiële data blijft dus aantrekkelijker voor cybercriminelen. Maar gesloten medische gegevens behouden wel langer hun waarde, het vereist alleen ook meer tijd en middelen om er echt iets mee te kunnen doen.
In het rapport is verder te lezen dat cybercrime-as-a-service zich specifiek op deze sector richt. En wordt er gekeken naar cybercriminelen die zich richten op intellectueel eigendom van farmaceutische en biotechbedrijven. De algemene conclusie: ‘business of cybercrime’ gericht op de gezondheidszorg, neemt toe!