Une amende de 5,55 millions de dollars!
Cette année a été difficile pour l’industrie de la santé en ce qui concerne les atteintes à la protection des données. Les gestionnaires de données sur la santé sont sur le qui-vive depuis un certain temps déjà. Dans un règlement, une amende de 5,55 millions de dollars a été imposée pour récupérer des dossiers électroniques de patients contaminés et perdus, après qu’une flotte de pirates informatiques a attaqué de nombreux établissements de santé aux États-Unis.
La Health Insurance Portability and Accountability Act (HIPAA) a écrit un article disant qu’une base de données contenant 9,3 millions d’enregistrements a été volée à un assureur santé, puis mise en vente sur le marché du Darknet.
Bien qu’ils soient tous dans le secteur de la santé, la méthode utilisée par les pirates de données de santé varie, certaines d’entre elles sont assez surprenantes.
La revue HIPAA rapporte qu’en février 2016, le centre régional de radiologie de la Floride a perdu des dossiers, en route pour être incinérés, lorsqu’ils sont tout simplement tombés du véhicule qui les transportait. Cet accident a permis aux pirates d’accéder assez facilement aux fichiers.
Les services de santé correctionnels de la Californie ont perdu les dossiers de leurs patients à la suite d’un vol lorsqu’un ordinateur portable non crypté a été volé à l’intérieur de leur centre de santé. Il contenait des renseignements électroniques sur la santé publique (ePHI) exposant les renseignements confidentiels d’environ 400 000 patients.
La société de gestion de DME Bizmatics a également subi une violation de données qui a touché plus de 265 000 personnes en raison d’une infection par un logiciel malveillant.
Les atteintes à la protection des données sur la santé coûtent cher
Dans le cas d’une violation de données sur les soins de santé, il y a un coût énorme dans le cas d’un règlement payé par les hôpitaux et les assureurs maladie à titre de pénalités pour les informations compromises.
L’une des plus grandes atteintes aux soins de santé a été subie par Anthem Inc. L’atteinte qui a commencé en février 2014 impliquait un courriel d’hameçonnage. Une série de fichiers malveillants ont été téléchargés accidentellement, donnant aux pirates un accès ouvert à la maison de données d’Anthem. L’enquête indique la perpétration par un État-nation ayant un but et non un individu : « La sophistication de l’attaque est évidente non pas dans le courriel d’hameçonnage, mais dans la capacité du logiciel malveillant à se déplacer latéralement dans l’infrastructure informatique, à accéder à des bases de données critiques et à exfiltrer la date – le tout sans être détecté », confirme Dan Berger, PDG de Redspin. Les sociétés de cybersécurité CrowdStrike, Alvarez & Marsal Insurance et Risk Advisory Services Anthem Inc. ont déjà engagé d’énormes dépenses dans cette violation de données – environ 112 millions de dollars pour fournir une protection de crédit aux consommateurs touchés.
La revue HIPAA a publié des chiffres comptant le nombre exact de violations de données causées par un accès non autorisé à des ordinateurs ou à un serveur réseau, ou par une perte ou une « élimination » inappropriée. Ces atteintes à la protection des données sur les soins de santé étaient motivées par le vol de renseignements personnels de patients tels que les noms, les adresses, les dates de naissance et les cartes de crédit pour créer des comptes frauduleux et accéder à des services de santé ou financiers (ou pour les utiliser à d’autres fins criminelles). Mark Turnage, PDG d’Own Cybersecurity, affirme que les voleurs de données créent de faux comptes au nom de la victime et « par conséquent, ces fichiers permettent aux criminels d’accéder à des services de santé, à des services financiers et à des informations pour utiliser l’identité de la victime pour commettre d’autres fraudes ou crimes ».
Le Bureau des droits civils a perçu plus de 16 millions de dollars de seulement cinq entités en pénalités.
Améliorer la sécurité des données de santé
L’industrie de la santé est cependant de plus en plus sûre. Anthem Inc. a mis en œuvre l’authentification à deux facteurs pour se connecter à tous ses systèmes et a déployé une solution améliorée de gestion des comptes. Ils dépensent maintenant plus de 260 millions de dollars en sécurité , comme l’ont rapporté les commissaires aux assurances de l’État.
La mise en œuvre de protocoles stricts fera un bien meilleur travail de verrouillage de l’information, ce qui peut empêcher les piratages dans votre système. Les informations toutes chargées dans la base de données ePHI peuvent également limiter l’accès uniquement au personnel autorisé, en gardant l’information strictement privée. Cependant, le maintien de l’eRPS ne diminue pas la nécessité de mettre en place un système amélioré de gestion des risques.
L’essentiel est d’essayer de déterminer ce qui est exactement en faute dans le cas d’une atteinte à la protection des données sur la santé. Certains des cas susmentionnés semblent être causés par une pure négligence, mettant apparemment l’information à la disposition des voleurs et les invitant à entrer. Tous les plans, experts et solutions les mieux conçus ne signifient rien s’ils ne sont pas suivis.
Vous pouvez mettre en œuvre toutes les meilleures pratiques pour éviter une violation de données sur la santé, mais ne faites pas de vous une cible facile.
