Disruptive technologies in the form of e-Health or electronic healthcare (the use of information technology in health) have the ability to provide positive implications to both patients and healthcare professionals. Recently, public health agencies deployed contact tracing apps with the aim of curbing the spread of COVID-19, by aiding manual contact tracing, and lifting restrictions. Despite this, their ubiquitous nature in the sector has opened doors to new threats in the area of information security and privacy, where these apps, for instance, contain security and privacy risks such as violation of the principle of least privilege, which when exploited can cause privacy harms to the user, for example, re-identification of users. In general, information security and privacy in the healthcare sector is essential due to the nature of the data they process, and the need to keep the patient safe. While this is so, the general security posture of the sector, which is poor due to its under-financing in IT security among other reasons such as the use of legacy systems, makes it vulnerable to cyber-attacks that end up with exfiltration of personal health data, among other data, for instance, relevant research data. Such data can be misused incurring privacy harm to patients that have been affected by the breach. This thesis follows an experimental approach to assess the privacy and security risks of m-Health apps, with the selected case study of these m-Health apps, that is, COVID-19 contact tracing apps. In addition, it also contributes with a theoretical approach to assessing impacts and consequences in the healthcare sector, including what harms patients could face in the event of a state-sponsored cyber-attack. In addition, the research aims at contributing to the field by proposing a sector-specific model that can be used to evaluate the impact on the privacy of patients affected by a data breach. / Störande teknologier i form av e-hälsa eller elektronisk sjukvård (användning av informationsteknologi inom hälsa) har förmågan att ge positiva implikationer för både patienter och vårdpersonal. Folkhälsomyndigheter har nyligen implementerat så kallade kontaktspårningsappar i syfte att hindra spridningen av COVID-19, genom att bidra till manuell kontaktspårning och införande av restriktioner. Trots detta har deras allmänt förekommande natur i sektorn öppnat dörrar för nya hot i områdena informationssäkerhet och personlig integritet, Där dessa appar, till exempel, innehåller säkerhets- och integritetshot såsom brott mot lägsta prioritetsprincipen (eng. principle of least privilege), som, när exploaterad, kan orsaka personlig integritets-skador för användaren, exempelvis återidentifiering av användare. Generellt kan sägas att informationssäkerhet och skydd av personlig integritet inom hälso- och sjukvården är absolut nödvändigt med tanke på egenskaperna hos de personuppgifter som behandlas, och behovet av att skydda patienten. Trots detta gäller att sektorns generella hållning , som är svag på grund av dess underfinansiering av IT-säkerhet bland andra skäl på grund av användning av gamla system, gör dem sårbara för IT-angrepp som slutar med exfiltrering av persondata, bland annat forskningsdata. Sådana data kan missbrukas och därmed orsaka skada för de patienters som drabbats. Avhandlingen argumenterar för att hälso- och sjukvårdssektorns låga kvalitet på informationssäkerhet kan leda till att säkerheten och integriteten hos hälsodata, särskilt personlig hälsodata, kan exploateras för att orsaka integritetsskador inte bara från opportunister eller hacktivister, utan också från angripare som sponsras av stater, som exempelvis Fancy Bear i fallet World Anti-Doping Agency år 2016. Det följer ett experimentellt tillvägagångssätt för att säkerställa påverkan och konsekvenser i vårdsektorn, inklusive vilka skador patienter skulle kunna möta om ett angrepp sponsrad av ett annat land skulle ägan rum. I grunden visar forskningen på de kritiska och signifikanta egenskaperna i sektorn och den påverkan en IT-angrepp skulle ha på individer och på sektorn själv. Dessutom strävar forskningen efter att bidra till området genom att föreslå en sektorspecifik modell som kan användas för att evaluera påverkan på de patienters personliga integritet som drabbats av ett dataläckage.
Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kau-89688 |
Date | January 2022 |
Creators | Wairimu, Samuel |
Publisher | Karlstads universitet, Institutionen för matematik och datavetenskap (from 2013) |
Source Sets | DiVA Archive at Upsalla University |
Language | English |
Detected Language | Swedish |
Type | Licentiate thesis, comprehensive summary, info:eu-repo/semantics/masterThesis, text |
Format | application/pdf |
Rights | info:eu-repo/semantics/openAccess |
Relation | Karlstad University Studies, 1403-8099 ; 2022:19 |
Page generated in 0.0033 seconds