La nouvelle ère des soins de santé numériques
Au cours de l'année écoulée, le secteur des technologies et des soins de santé numériques a connu des progrès significatifs, les entreprises développant continuellement des solutions pour aider à la fois les patients et les médecins. La numérisation et l'automatisation en cours des systèmes de santé recèlent un immense potentiel d'amélioration des résultats sanitaires. Cependant, comme nous l'avons vu avec la récente cyberattaque très médiatisée contre Change Health, la prolifération des services numériques dans le secteur des soins de santé pose également un défi sans précédent en matière de protection des données médicales.
Les responsables des soins de santé IT doivent mettre en œuvre des contrôles de sécurité robustes et avoir une visibilité sur le comportement des utilisateurs afin de contrôler efficacement l'intégrité des données. Cela nécessite d'adopter une approche centrée sur la personne et de surveiller les mouvements de données afin de déterminer les intentions et de garantir la protection des données. S'il est essentiel de connecter les utilisateurs aux données médicales sensibles via des canaux sécurisés, ce n'est qu'un aspect d'un cadre de sécurité plus large. En outre, si l'automatisation des processus de soins de santé améliore l'efficacité de la prise de décision, elle introduit également des risques de perte de données. Cette perte peut se manifester sous diverses formes, notamment le vol d'informations, les fuites de données, la manipulation et le partage non autorisé avec des tiers. Il est donc essentiel de mettre en œuvre des mesures de prévention des pertes de données (DLP ) dans le secteur des soins de santé.
Les cyberattaques les plus médiatisées dans le secteur de la santé
En 2023, l'Office for Civil Rights (OCR) du ministère de la santé et des services sociaux (HHS) a signalé 541 cas de violations de données touchant plus de 500 personnes. Certains de ces incidents ont touché des millions, voire des dizaines de millions de personnes, comme la violation largement médiatisée de HCA Healthcare au cours de l'été.
Le jour de Thanksgiving de la même année, Ardent Health Services a subi une attaque de ransomware, ce qui a incité le système de 30 hôpitaux à fermer et suspendre de manière proactive l'accès de tous les utilisateurs à ses applications IT . Cela a entraîné des retards dans les procédures non urgentes.
En février 2024, le HIPAA Journal avait enregistré 24 violations de données impliquant 10 000 dossiers médicaux.
Les cyberattaques les plus importantes visant les prestataires de soins de santé cette année se sont concentrées sur Change Healthcare, une filiale de UnitedHealth Group. Après l'attaque ALPHV, l'entreprise a été confrontée à une deuxième crise de ransomware. Les auteurs de la menace prétendaient posséder 4 To de données de l'entreprise, y compris des informations personnelles identifiables (PII) du personnel militaire américain actif, des dossiers médicaux de patients, des détails de paiement, et plus encore.
Selon un rapport de l'American Health Association, près de 60 % des hôpitaux interrogés ont signalé des pertes de revenus quotidiennes d'au moins 1 million de dollars, et 74 % ont déclaré que l'incident Change Healthcare avait eu un impact direct sur les soins aux patients au sein de leur établissement.
Augmentation de la réglementation fédérale et nationale
De nouvelles exigences sectorielles concernant la sécurité des données de santé se profilent à l'horizon, les législateurs cherchant à responsabiliser les organisations en matière de protection des données.
HIPAA
La règle de confidentialité de l'HIPAA (45 CFR Part 160 et Subparts A and E of Part 164) définit les utilisations et les divulgations autorisées et obligatoires des informations de santé protégées (PHI). Les PHI peuvent exister sous n'importe quelle forme, y compris sur papier, sur film et sous forme électronique, et sont considérées comme des informations de santé individuellement identifiables.
La règle de sécurité de l'HIPAA, 45 CFR Part 160 et Part 164, Subparts A et C, définit les exigences relatives aux PHI électroniques (ePHI). Les entités couvertes et leurs partenaires commerciaux sont tenus de préserver la confidentialité, l'intégrité et la disponibilité des informations personnelles électroniques.
La règle HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, exige que les entités couvertes par l'HIPAA et leurs associés commerciaux fournissent une notification à la suite d'une violation d'informations de santé protégées non sécurisées.
NIST
NIST Special Publication 800 NIST SP 800-66r2, publiée en février 2024, fournit des conseils aux entités réglementées (c'est-à-dire les entités couvertes par l'HIPAA et les associés commerciaux) sur l'évaluation et la gestion des risques pour les ePHI, identifie les activités typiques qu'une entité réglementée pourrait envisager de mettre en œuvre dans le cadre d'un programme de sécurité de l'information, et présente des conseils que les entités réglementées peuvent utiliser en tout ou en partie pour aider à améliorer leur posture de cybersécurité et aider à se conformer à la règle de sécurité de l'HIPAA.
HHS
En décembre 2023, le ministère de la santé et des services sociaux (HHS) a publié un document de réflexion décrivant sa stratégie de cybersécurité pour le secteur des soins de santé. Cette stratégie met l'accent sur l'intensification des efforts d'application de la loi et sur l'établissement de normes élevées en matière de pratiques industrielles. Par la suite, en janvier 2024, le HHS a dévoilé ses objectifs de performance en matière de cybersécurité pour le secteur des soins de santé et de la santé publique. Ces objectifs sont divisés en catégories "essentielles" et "améliorées", visant à remédier aux vulnérabilités prévalentes en matière de cybersécurité dans le secteur des soins de santé.
Le programme HHS 405(d) offre des conseils pratiques aux organismes de soins de santé qui s'attaquent à la complexité de la mise en œuvre de mesures robustes de sécurité des données. Cette initiative souligne l'intégration stratégique des systèmes de prévention des pertes de données (DLP) en tant que composante essentielle d'un cadre complet de sécurité des données. L'adaptation des solutions de prévention des pertes de données aux besoins spécifiques des flux de travail dans le secteur de la santé permet de réduire considérablement le nombre de faux positifs et d'améliorer l'efficacité globale des initiatives de protection des données.
Les lois fédérales américaines
Des lois fédérales telles que la Gramm-Leach-Bliley Act (GLBA), la Family Educational Rights and Privacy Act (FERPA) et la Fair Credit Reporting Act (FCRA) garantissent la confidentialité des données personnelles. En plus de ces réglementations fédérales, de nouvelles lois nationales continuent à voir le jour, renforçant encore les mesures de protection et de confidentialité des données :
Juillet 1, 2023
Tirer parti de la prévention proactive de la perte de données dans le domaine de la sécurité des données de santé
Les données et la sécurité des patients étant d'une importance capitale, comment les prestataires de soins de santé peuvent-ils s'assurer que leurs outils de sécurité existants sont efficaces face à l'évolution des menaces ?
Les attaques visant les petits prestataires de soins de santé régionaux se sont multipliées, soulignant la nécessité de mettre en place des mesures de cybersécurité rigoureuses. Ces organismes stockent généralement des données extrêmement sensibles, ce qui en fait des cibles de choix pour les pirates informatiques. La mise en œuvre d'approches de sécurité "multicouches", intégrant la prévention des pertes de données et la détection proactive des menaces, est essentielle pour minimiser les dommages potentiels.
OPSWAT Proactive DLP
La DLP implique des stratégies visant à éviter la divulgation involontaire ou non autorisée de données sensibles, telles que les dossiers des patients ou les PHI. Cet aspect est particulièrement important dans le secteur des soins de santé, où la compromission des informations personnelles peut avoir de graves conséquences pour les patients, pouvant conduire à une usurpation d'identité ou à un traitement médical compromis. La mise en place d'une stratégie DLP solide est impérative pour les organisations afin d'atténuer les violations de données et de maintenir la sécurité et la confidentialité des données de santé.
Comment fonctionne OPSWAT Proactive DLP
OPSWAT Proactive DLP détecte et bloque les données sensibles, non conformes à la politique et confidentielles dans les fichiers et les courriels. Équipé pour atténuer les violations de données potentielles, Proactive DLP utilise une gamme complète de mesures de sécurité, y compris la détection des logiciels malveillants véhiculés par les fichiers, la classification des documents alimentée par l'IA et la reconnaissance optique des caractères (OCR) pour la rédaction des informations sensibles. Il prend en charge la conformité HIPAA grâce à de solides capacités de prévention des pertes de données, de contrôle d'accès et d'atténuation des risques.
Exemples de fichiers DICOM expurgés
Avant : Scanner original de médecine nucléaire affichant les informations identifiables du patient, notamment son nom, son numéro d'identification et sa date de naissance.
Avant : Image radiographique originale montrant les informations identifiables du patient, y compris son nom, sa carte d'identité et son adresse.
OPSWAT MetaDefender Plate-forme
OPSWAT MetaDefender La plate-forme offre une prévention complète des menaces, adaptée aux organismes de soins de santé, afin de traiter les données de santé de manière sûre et rentable. MetaDefender Platform simplifie les processus opérationnels de sécurité, s'adapte facilement et fournit des technologies de pointe pour une stratégie de défense en profondeur, telles que :
- Deep CDR désarme les fichiers potentiellement malveillants et régénère le contenu utilisable en toute sécurité.
- Multiscanning détecte les logiciels malveillants connus et inconnus grâce à plus de 30 moteurs AV.
- Adaptive Sandbox détecte les logiciels malveillants par une analyse dynamique et statique.
- Le pays d'origine restreint l'accès aux données en fonction du lieu et du fournisseur.
Découvrez comment OPSWAT MetaDefender Platform peut aider les entités de soins de santé à relever leurs défis en matière de sécurité des données dans ce livre blanc.
Tracer l'avenir de la sécurité numérique des soins de santé
Le secteur de la santé est confronté à une menace imminente de cyberattaques de plus en plus sophistiquées, y compris des attaques alimentées par l'IA, ce qui représente un formidable défi qui surpasse les mesures de sécurité conventionnelles. Les schémas d'hameçonnage sur mesure, l'exploitation automatisée des vulnérabilités des systèmes et d'autres facteurs de risque croissants induits par la numérisation et l'automatisation accrues font peser un risque grave sur l'intégrité des données des patients et la continuité des opérations.
Pour lutter efficacement contre ces menaces en constante évolution, les équipes de soins de santé IT doivent mettre en œuvre de solides protocoles de protection des données afin de protéger les informations sensibles des acteurs de la menace. Cette approche proactive garantit que les organismes de santé sont bien équipés pour répondre aux normes de conformité et continuer à fournir des soins essentiels à leurs patients.
Secure les données sensibles de votre organisation dès aujourd'hui.
