500 tys. danych ochotników biorących udział w badaniach medycznych z brytyjskiej bazy Biobank znalazło się jako pakiet do sprzedaży na chińskim market place Alibaba. Dane wystawili pracownicy z jednej z trzech chińskich instytucji naukowych współpracujących z Biobankiem. Jak stwierdzili analitycy, pokazuje to ryzyko współpracy z instytucjami spoza Europy czy USA, gdzie regulacje dotyczące danych osobowych są restrykcyjne.
Biobank, brytyjska organizacja non-profit, jest obecnie depozytariuszem najobszerniejszego na świecie zbioru danych biomedycznych, z którego korzystają badacze na całym świecie, stąd wyciek pakietu na serwery Alibaby jest najpoważniejszym tego typu incydentem w historii, którego w dodatku nie można przypisać włamaniu lub innym tego typu działaniom przestępczym. Co prawda dane zostały zanonimizowane, ale analitycy IT są sceptyczni – ich zdaniem można odtworzyć dane personalne z tego zbioru i identyfikacja osób nie jest niemożliwa.
Informację o wystawieniu danych na Alibabę przekazał w trakcie przemówienia w Izbie Gmin brytyjski minister technologii Ian Murray. Jednocześnie Biobank potwierdził wyciek danych stwierdzając, że chodzi o „trzy chińskie instytucje naukowo-badawcze”, które uczestniczyły w projektach naukowych z samym Biobankiem.
W oświadczeniu stwierdzono, że trzy oddzielne listy danych, z których jedna zawierała dane wszystkich 500 tys. brytyjskich uczestników, zostały wystawione na sprzedaż online przez nieznane źródło związane z jedną z trzech chińskich instytucji badawczych, a prawdopodobnie ze wszystkimi trzema. Murray stwierdził, że dane zostały zanonimizowane, ale nie ma całkowitej pewności, że nie zostaną wykorzystane do identyfikacji osób, jeśli trafią w niepowołane ręce. Brytyjski Biobank poinformował rząd, że nie ma 100% pewności, że dane te nie mogłyby posłużyć do identyfikacji ochotnika, ale wymagałoby to bardzo zaawansowanej interpretacji, za czym kryje się obróbka danych systemami „z reguły dostępnymi służbom państwowym”.
„Odpowiednie instytucje” według ministra, za którym to określeniem kryją się brytyjskie służby wywiadowcze, sprawdziły czy dane z Biobanku wystawione na Alibabie nie zostały stamtąd pobrane lub kupione, ale na razie nie ma na to dowodów.
Organizacja non-profit zgłosiła incydent brytyjskiemu rządowi 20 kwietnia, a wkrótce potem sama zgłosiła się do Biura Komisarza ds. Informacji ICO.
„Dane medyczne ludzi to niezwykle wrażliwe informacje, dlatego nie tylko oczekują, że będą one traktowane ostrożnie i bezpiecznie, ale organizacje mają również obowiązki wynikające z prawa UK. Biobank poinformował nas o incydencie i prowadzimy dochodzenie” – powiedział rzecznik ICO brytyjskiemu portalowi branży teleinformatycznej The Register.
Informację od rządu brytyjskiego i ICO otrzymał rząd chiński i zainterweniował w zarządzie platformy by aukcję usunięto, co zresztą stało się niemal natychmiast. Potwierdził to Ian Murray zauważając, że chiński rząd odegrał znaczącą rolę w usuwaniu tych plików, podobnie jak Alibaba.
„Chciałbym podziękować chińskiemu rządowi za szybkość i zaangażowanie z jakimi współpracował z nami, aby pomóc w usunięciu tych list, oraz za trwające prace nad usunięciem wszelkich kolejnych list danych” – powiedział Murray.
Teoretycznie, jak dodał, choć instytucje, z których pochodziły dane były chińskie, „sam ten fakt nie sugeruje intencji stojącej za ich umieszczeniem”. Jednak jest mało prawdopodobne by ktoś spoza tych instytucji pozyskał dane i umieścił je na marketplace.
„Sprawa jest oczywista. Chińczycy powiedzmy bardzo swobodnie traktują dane pochodzące z zewnątrz i robią z nimi co im się podoba. W tym przypadku jakaś grupka doszła do wniosku, że można na nich jeszcze zarobić i zrobił się zbyt duży skandal. Inna rzecz, że bardzo się dziwię Brytyjczykom, że nawiązują współpracę z chińskimi instytucjami badawczymi i pozwalają by ściągano takie dane, nie ma restrykcyjnej polityki zabezpieczenia dostępu do nich. Przecież wszyscy wiedzą, że każdy podmiot gospodarczy, każda chińska instytucja państwowa ma według ustawy z 2020 roku oddawać wszystko co chce wywiad, jakikolwiek chiński wywiad. A jeśli sam Biobank mówi, że mimo wszystko ta anonimizacja nie jest do końca szczelna – to po prostu kopalnia przydatnych informacji dla wywiadu. Nie mówię już o tym, że takie dane to raj marketingowy dla chińskich firm czy dla trenowania modeli chińskiego AI” – powiedział ISBiznes.pl polski analityk wojskowy. Potwierdzą to brytyjscy analitycy, którzy zauważają, że sprawa Biobanku pokazuje „problemy we współpracy z instytucjami z krajów poza Europą i USA, gdzie dostęp do danych jest prawnie chroniony”.
Co ciekawe, w umowie o wspólnych projektach badawczych nie było mowy o pozyskaniu danych Biobanku, po prostu jakaś grupa pracowników z chińskich instytucji naukowych korzystając z dostępu do Biobanku pobrała cały zbiór danych z brytyjskiej organizacji na swoje lokalne serwery danych przy pomocy „nieznanego typu oprogramowania” i po jakimiś czasie wystawiła na sprzedaż.
Jak się przy tym okazało, z danymi Biobanku niejednokrotnie obchodzono się bardzo nonszalancko. Poza obecnym jaskrawym przypadkiem sprzedaży danych, akredytację Biobanku cofnięto nawet takiej instytucji, jak Uniwersytet Yale z powodu „naruszenia bezpieczeństwa danych”.
Chiński przypadek jest jeszcze ważniejszy, bo po „wpadce” z danymi, jakie uzyskał Uniwersytet Yale, w 2024 roku Biobank zmienił sposób, w jaki akredytowane instytucje uzyskują dostęp do danych wolontariuszy. Przed tą datą przekazywał całe zbiory danych instytucjom, z którymi zawarł umowę. Miały służyć do celów badawczych. Po tej dacie Biobank tylko przechowywał dane, a akredytowani badacze otrzymywali następnie loginy do platformy UK Biobank. Naukowcy mogli prowadzić badania i przeprowadzać analizy, ale tylko na platformie Biobanku. Pobierali same wyniki, nie surowe dane.
Jednak jak się okazało, rozwiązanie to zawierało istotny błąd.
„System umożliwiał również pobieranie zestawów danych, czego zgodnie z umową jako akredytowana organizacja nie wolno było robić. Rozumiemy, że prawdopodobnie właśnie tak się stało – te trzy instytucje same pobrały zestawy danych i nie mamy jeszcze pewności, w jaki sposób znalazły się one na tej stronie internetowej, ale UK Biobank oraz instytucje i organizacje rządowe pracują obecnie nad tym problemem” – powiedział minister Murray w Izbie Gmin.
Co prawda Biobank stwierdził, że dane wystawione na sprzedaż nie zawierały żadnych danych osobowych, takich jak imiona i nazwiska wolontariuszy, ich adresy, numery telefonów ani numery NHS, ale według oświadczenia ministra w Izbie Gmin, dane te zawierały: płeć, wiek, miesiąc i rok urodzenia, dane z ośrodka oceny, daty uczestnictwa, status społeczno-ekonomiczny, nawyki związane ze stylem życia, dane z próbek biologicznych dotyczące hematologii, biologii i biochemii, dane dotyczące snu, diety, środowiska pracy, zdrowia psychicznego i wyników zdrowotnych.
Biobank poinformował o wprowadzeniu szeregu usprawnień w zakresie bezpieczeństwa w związku z tym wyciekiem.
„Tymczasowo zawiesiliśmy wszelki dostęp do platformy badawczej brytyjskiego Biobanku, jednocześnie wprowadzając ścisły limit rozmiaru plików, które można z niej pobrać. Ten środek umożliwi naukowcom eksportowanie wyników badań, jednocześnie znacznie ograniczając ich możliwość pobierania z platformy zanonimizowanych danych uczestników. Ponadto wszystkie pliki eksportowane z platformy badawczej będą codziennie monitorowane pod kątem wszelkich podejrzanych zachowań. Te środki bezpieczeństwa dodatkowo zminimalizują ryzyko niewłaściwego wykorzystania danych z brytyjskiego Biobanku. Przeprowadzimy również kompleksowe, kierowane przez komisję dochodzeniowo-śledczą dochodzenie w sprawie tego incydentu. Opracowujemy pierwszy na świecie zautomatyzowany system kontroli, który może zapobiec pobieraniu zanonimizowanych danych uczestników z platformy badawczej brytyjskiego Biobanku, nie blokując jednocześnie ważnych badań prowadzonych przez tysiące naukowców na całym świecie. Planujemy wdrożyć ten zautomatyzowany system pod koniec tego roku” – stwierdził w oświadczeniu prof. Rory Collins, dyrektor generalny i główny badacz brytyjskiego Biobanku.
Biobank działa od 2012 roku, a zanonimizowane dane, które udostępnia ekspertom medycznymi i badaczom zakresu biochemii, badań przedklinicznych i farmaceutycznych są wykorzystywane w wiodących badaniach medycznych nad takimi schorzeniami, jak demencja, nowotwory, choroba Parkinsona, przewlekły ból, odporność na COVID-19 czy choroby autoimmunologiczne. Rząd brytyjski chce by Biobank w przyszłości był wiodącym światowym dostawcą danych biomedycznych dla instytucji badawczych.
