Brytyjski rząd poinformował o poważnym naruszeniu bezpieczeństwa danych w jednym z najważniejszych na świecie rejestrów zdrowotnych. Dane należące do UK Biobank, obejmujące informacje od wszystkich 500 tysięcy ochotników, zostały zaoferowane do sprzedaży na chińskich platformach handlowych Ali Baba. Choć władze zapewniają, że nie doszło do wycieku danych osobowych, takich jak imiona, nazwiska czy adresy, incydent wzbudził poważne obawy o bezpieczeństwo i zaufanie do zarządzania danymi badawczymi.
- Dane z UK Biobank, obejmujące wszystkich 500 000 uczestników, zostały zidentyfikowane w ofertach sprzedaży na chińskich platformach Ali Baba.
- Brytyjski rząd natychmiast podjął działania: we współpracy z Chinami usunięto oferty, cofnięto dostęp instytucjom badawczym odpowiedzialnym za wyciek oraz wstrzymano pobieranie danych z platformy do czasu wprowadzenia nowych zabezpieczeń.
- Organizacja UK Biobank niezwłocznie wszczęła wewnętrzne dochodzenie, a także zgłosiła sprawę do brytyjskiego urzędu ochrony danych (ICO). Rząd zapowiedział również wydanie nowych wytycznych dotyczących kontroli danych w badaniach naukowych.
Szczegóły incydentu z danymi UK Biobank
Minister ds. Szkocji Ian Murray poinformował Izbę Gmin, że w poniedziałek, 20 kwietnia, organizacja charytatywna UK Biobank przekazała rządowi informację o wykryciu ofert sprzedaży swoich danych na chińskich platformach e-commerce Ali Baba. Zidentyfikowano trzy ogłoszenia, z których co najmniej jedno zawierało dane wszystkich 500 000 uczestników projektu. Dodatkowe oferty dotyczyły pomocy w uzyskaniu legalnego dostępu do danych lub analiz dla naukowców, którzy już taki dostęp posiadali.
Kluczowym elementem, który natychmiast podkreślono, jest fakt, że wyciekłe dane nie zawierały danych osobowych, takich jak imiona, nazwiska, adresy zamieszkania czy numery telefonów. Rząd, po rozmowie z platformą sprzedażową, jest przekonany, że żadna z trzech ofert nie została zrealizowana – nie doszło do żadnych transakcji przed ich usunięciem.
Natychmiastowe działania rządu Wielkiej Brytanii
Po ujawnieniu incydentu brytyjski rząd wdrożył natychmiastowe środki zaradcze, które miały na celu ochronę danych uczestników. Działania te objęły trzy główne obszary:
- Współpraca międzynarodowa: Rząd brytyjski skontaktował się z władzami Chin, które – według słów ministra Murraya – wykazały się “szybkością i powagą” w pomocy przy usuwaniu ogłoszeń z platformy Ali Baba.
- Natychmiastowe blokady: Organizacja UK Biobank natychmiast cofnęła dostęp do danych instytucjom badawczym, które zostały zidentyfikowane jako źródło wycieku.
- Wstrzymanie pobierania: Wprowadzono tymczasowe moratorium na pobieranie danych z platformy UK Biobank. Ma ono obowiązywać do czasu wdrożenia nowego systemu, który znacząco usprawni kontrolę dostępu i uniemożliwi pobieranie pełnych zestawów danych.
Naruszenie zaufania i dalsze kroki
Minister Murray podkreślił, że incydent ten stanowi “niedopuszczalne nadużycie zaufania” uczestników, którzy dobrowolnie przekazali swoje dane na rzecz badań naukowych. Rząd oczekuje od UK Biobank szybkiego przeprowadzenia dochodzenia na poziomie zarządu w celu przeanalizowania obecnych zabezpieczeń. Dodatkowo, organizacja ma obowiązek jak najszybciej poinformować listownie wszystkich uczestników o zaistniałej sytuacji.
Rząd Wielkiej Brytanii zapowiedział również wydanie nowych, bardziej rygorystycznych wytycznych dotyczących kontroli danych pochodzących z badań naukowych. Jednocześnie zaapelowano do wszystkich firm i organizacji charytatywnych o maksymalne wzmocnienie systemów bezpieczeństwa i procesów udostępniania danych.
UK Biobank, jako niezależna organizacja charytatywna non-profit, jest jednym z najważniejszych na świecie źródeł danych zdrowotnych. Gromadzi informacje od ochotników, które są udostępniane naukowcom na całym świecie w celu dokonywania przełomowych odkryć medycznych, m.in. w zakresie chorób serca, nowotworów czy choroby Parkinsona. Tożsamość uczestników zawsze pozostaje chroniona poprzez anonimizację danych.
Źródło: Ministerstwo ds. Szkocji / gov.uk