في عام 2023، القراصنة شركة الاختبارات الجينية المستهدفة 23andMeفي أعقاب الاختراق، سرب الجناة بيانات مسروقة، بما في ذلك بيانات عن المستخدمين الذين لديهم الحمض النووي اليهودي الأشكناز والحمض النووي الصيني، عبر الإنترنت. الآن، وافقت 23andMe على دفع 30 مليون دولار لتسوية دعوى قضائية جماعية.
عندما حدث الاختراق في عام 2023، استغل الجناة تكتيكات الهجوم الإلكتروني المتمثلة في حشو بيانات الاعتماد للوصول إلى حسابات المستخدمين. وبمجرد أن تمكن المتسللون من الوصول إلى ما يقرب من 14000 حساب مستخدم، قاموا بتوسيع نطاق وصولهم إلى 5.5 مليون ملف تعريف لأقارب الحمض النووي و1.4 مليون ملف تعريف لشجرة العائلةوفقًا لمدونة 23andMe.
ماذا تعني التسوية بالنسبة للشركة ومستخدميها المتضررين؟ وهل يمكن أن يصبح الجناة أكثر حرصًا على ملاحقة البيانات الجينية؟
التسوية
“ووفقًا لبيان أرسله متحدث باسم شركة 23andMe عبر البريد الإلكتروني، من المتوقع أن يتم تغطية حوالي 25 مليون دولار من التسوية والنفقات القانونية ذات الصلة من خلال تغطية التأمين السيبراني. ونحن نستمر في الاعتقاد بأن هذه التسوية تصب في مصلحة عملاء 23andMe، ونتطلع إلى الانتهاء من الاتفاقية”.
وبدون التأمين السيبراني، ربما كانت الشركة لتواجه نتيجة مختلفة تمامًا. يقول كيفن سزيبانسكي، الشريك والرئيس المشارك لقسم ممارسات أمن البيانات والتكنولوجيا في شركة المحاماة التي تقدم خدمات كاملة: “إذا لم يكن لدى 23andMe تأمين سيبراني، فقد تكون هذه دعوى قضائية تنهي الشركة”. باركلي دامون.
وقد أعقب التسوية المزيد من الاضطرابات التي عصفت بالشركة المحاصرة. ففي السابع عشر من سبتمبر/أيلول، وبعد وقت قصير من ورود أنباء التسوية، استقال سبعة أعضاء من مجلس إدارة 23andMeلقد غادروا بسبب الرئيس التنفيذي والمؤسس المشارك آن فوجسيكي تخطط لتحويل 23andMe إلى شركة خاصةوفقًا لصحيفة The Hill، فإن Wojcicki هي رئيسة مجلس الإدارة والعضو الوحيد المتبقي في المجلس.
“أعتقد أن هذا يوضح كيف يمكن لانتهاكات البيانات ودعاوى الدعاوى الجماعية الناتجة عنها أن تلحق أضرارًا مالية وسمعة خطيرة بالشركة، وغالبًا في أسوأ وقت ممكن”، كما يقول Szczepanski.
البيانات الجينية كهدف
في حين تعمل شركة 23andMe على استكمال التسوية والدراما المحيطة بمجلس إدارتها، هناك أسئلة أكبر حول المخاطر المحيطة بالبيانات الجينية.
لدى المتسللين سجل طويل في استهداف بيانات الرعاية الصحية، والتي يمكن الاستفادة منها لسرقة الهوية والاحتيال في الرعاية الصحية. يمكن للجهات الفاعلة في التهديد الوصول إلى أي مكان من من 10 إلى 1000 دولار عن كل سجل طبي مسروق أو مباع.
“القدرة على الحساب” [those] يقول جورج باباس، الرئيس التنفيذي لشركة “إن إس بي سي”: “إن الأضرار التي لحقت بأجهزة الكمبيوتر لها سجل حافل، في حين أن سرقة الحمض النووي لا تزال مجالاً مفتوحاً على مصراعيه. وعلى الرغم من أننا نعلم أنها قد تكون خطيرة، إلا أننا لا نملك البيانات الفعلية التي تدعمها حتى الآن”. الصحة الداخلية، شركة متخصصة في الأمن السيبراني للرعاية الصحية.
كيف يمكن أن يبدو الضرر المحتمل الناجم عن البيانات الجينية المخترقة؟ أولاً، البيانات الجينية غير قابلة للتغيير. لا يمكنك تغييرها كما يمكنك تغيير كلمة المرور. بمجرد نشرها على شبكة الويب المظلمة، لا يستطيع الضحية فعل الكثير بخلاف البقاء متيقظًا للعلامات التي تشير إلى استخدام بياناته بشكل ضار.
إن عواقب سرقة البيانات الجينية قد تتجاوز مجرد سرقة الهوية أو الاحتيال. ويحذر سزيبانسكي قائلاً: “العالم مكان خطير. لذا، إذا كانت هناك بيانات يمكن أن تحدد هوية فئات معينة من الأفراد من خلال الاسم والعنوان والموقع، فهناك دائمًا خطر على السلامة … سواء كانت هجمات إلكترونية أو حتى هجمات مادية”.
ويبدو أن هذه العواقب المحتملة تنعكس في اتفاقية تسوية خرق البيانات المقترحة من 23andMe. وبموجب الاتفاقية، يحق لأعضاء التسوية الحصول على تعويض عن “… النفقات المترتبة على الاحتيال على الهوية، وتركيب أنظمة الأمن المادي أو المراقبة، والعلاج المهني للصحة العقلية”.
ومن المرجح أن يزداد جمع البيانات الجينية لأغراض مختلفة، مثل القياسات الحيوية والطب الدقيق. ويشير باباس إلى أن “هذا النوع من المعلومات يتم تخزينه بالفعل وسيستمر تخزينه داخل أنظمة السجلات الصحية الإلكترونية وأنواع أخرى من الأنظمة المساعدة”.
ومع قيام هذه المنظمة بتجميع البيانات الجينية، فمن المرجح أن يسعى المتسللون إلى المزيد من المسارات لتحقيق الربح.
“مع تقدم الذكاء الاصطناعي والتعلم الآلي، يمكن للجهات الخبيثة استخدام مثل هذه البيانات لشن هجمات أكثر تخصيصًا وتعقيدًا، مما يؤكد الحاجة الماسة إلى تدابير أمنية قوية عبر المؤسسات التي تتعامل مع هذا النوع من المعلومات”، باتريك تيكيت، نائب رئيس الأمن والهندسة المعمارية في حارس الأمنتقول شركة إدارة كلمات المرور والأسرار لموقع InformationWeek في مقابلة عبر البريد الإلكتروني:
الفجوات التنظيمية المحتملة
ومع تزايد وضوح المخاطر المحيطة بالبيانات الجينية، فمن المرجح أن تواجه الشركات مشهدًا تنظيميًا متطورًا وإمكانية زيادة المسؤولية.
في الوقت الحالي، يحمي قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) خصوصية المعلومات الصحية للمستهلكين. لكن قانون قابلية نقل التأمين الصحي والمساءلة ينطبق على مقدمي الرعاية الصحية، وليس الشركات مثل 23andMe. العديد من الولايات لديها قوانين خصوصية البيانات التي تحمي المعلومات الشخصية، والمعلومات الجينية مؤهلة بالتأكيد. حتى أن بعض الولايات لديها قوانين خصوصية جينية محددة؛ تتضمن التسوية المقترحة من 23andMe مدفوعات نقدية لأعضاء الفئة المقيمين في تلك الولايات. لكن القانون الفيدرالي لخصوصية البيانات لم يتحقق بعد.
إن انتشار البيانات الجينية له أيضًا عواقب محتملة على تغطية الرعاية الصحية. ماذا يحدث عندما تُظهر البيانات الجينية أن شخصًا ما لديه استعداد للإصابة بحالات صحية معينة ومكلفة؟ القوانين، مثل قانون الرعاية الصحية، لا يمكن أن تكون فعالة. قانون منع التمييز على أساس المعلومات الوراثية (GINA)تم تصميم هذه القوانين لحماية الأشخاص من التغطية الصحية والتمييز في التوظيف.
“ولكن ما مدى قوة هذا؟ هل تم اختباره حتى الآن؟ هل هناك ثغرات في هذا القانون؟ لذا، ليس لدينا ما يكفي من أحكام القضاء لفهم كيف يبدو هذا في الممارسة العملية”، كما يقول باباس.
إن البيانات الجينية تشكل أيضاً أداة قيمة محتملة للإعلان المستهدف من جانب الشركات المشروعة والجهات الاحتيالية. فهل ينبغي أن تكون هذه المعلومات الشخصية لعبة مشروعة للشركات؟ وكيف يمكن للمستهلكين أن يتأكدوا من أن الجهات الفاعلة المهددة لا تستهدفهم بإعلانات خبيثة عن أدوية مزيفة للمخاطر الصحية الحالية أو المستقبلية؟
ويقول باباس: “سوف يتطلب الأمر بعض السياسات الأفضل واللوائح الأفضل في المستقبل”.
ومع استمرار القراصنة في اكتشاف قيمة البيانات الجينية، فسوف يكون لديهم الدافع لاستهداف شركة 23andMe وأي شركة أخرى تحمي هذه المعلومات الشخصية للغاية. وسوف يقع على عاتق قادة الشركات مسؤولية تقييم المخاطر التي يتعرضون لها والتخفيف منها باتخاذ التدابير المناسبة، مثل النظافة الأمنية السيبرانية والتأمين السيبراني.
