Un été inoubliable pour l’industrie de la santé

Alors que nous sommes aux affres de l’hiver, en matière de cybersécurité, une industrie est heureuse que l’été soit terminé depuis longtemps. Ce fut un été assez mauvais pour le secteur de la santé, la sécurité des courriels et les violations de données. Un flot incessant de mauvaises nouvelles sur la sécurité a affligé le secteur. Parmi les atteintes :

City Of Hope, un centre de traitement du cancer en Californie, a été victime d’une attaque d’hameçonnage au début du mois de juin , ce qui n’a déterminé qu’à la fin juillet que le patient confidentiel avait pu avoir accès.

Le Pacific Alliance Medical Center, à Los Angeles, a également été touché par un rançongiciel en juin.

La clinique Family Tree Health de League City, au Texas, a également été victime d’une attaque par rançongiciel à la fin juin.

Medical Oncology Hematology Consultants, situé au Delaware, a également été attaqué par un rançongiciel à la mi-juin, mais n’a été découvert que près de 3 semaines plus tard. En réponse, ils ont offert des services gratuits de surveillance du crédit gracieuseté d’Equifax, entre autres agences – à la lumière d « événements plus récents , c » était peut-être une mauvaise idée.

À la mi-juin, Launchpoint a découvert qu’un employé avait envoyé des renseignements médicaux protégés (RPS) à une adresse courriel personnelle dans le cadre d’un stratagème de vol d’identité, ce qui pourrait compromettre jusqu’à 18 000 adhérents à l’assurance maladie.

Il y a aussi eu le St Marks Surgical Center à Fort Myers, en Floride, qui a subi une attaque de rançongiciel qui a touché jusqu’à 33 000 patients.

Ce n’est qu’un échantillon – Pour avoir une idée plus complète des préoccupations que vous pourriez avoir au sujet de vos données de santé, vous pouvez consulter Nouvelles sur la sécurité des TI de la santé et en savoir plus sur les attaques régulières et fréquentes que les cybercriminels mènent contre les fournisseurs de services de santé. Il s’agit d’une excellente ressource – et d’une liste sur laquelle vous ne voulez pas voir le nom de votre fournisseur de services de santé.

Pourquoi cela se produit-il?

Nous avons écrit une courte explication à ce sujet en février – la raison pour laquelle les soins de santé sont une cible si attrayante pour les atteintes et les cyberattaques.

De toute évidence, ces menaces ne font que continuer à se propager, et cela est en grande partie dû au « prix de vente » très élevé des données médicales. Un dossier médical volé peut valoir 60 fois une carte de crédit volée ou bien plus*. La valeur élevée est en partie attribuable au versement de 20 000 $ aux cybercriminels qui utilisent les renseignements contenus dans les dossiers avec succès.

Il est intéressant de noter que cette demande (et la prolifération des attaques) a créé une offre excédentaire. Cela a entraîné une baisse du prix de vente des disques et une augmentation des rançongiciels, où le paiement est immédiat et nécessite moins de « créativité ».

Une grande partie de l’industrie de la santé commence à s’en rendre compte et investit massivement dans sa sécurité (appelez-nous si vous ne l’êtes pas encore!). Mais même avec ces développements, des vulnérabilités peuvent toujours émerger.

Redresser le navire

Alors, comment une organisation de soins de santé sait-elle que la sécurité fonctionne?

Il est vraiment difficile de quantifier la valeur de la protection lorsqu’un événement de type « cygne noir » survient sans aucun avertissement et fait des ravages dans votre infrastructure informatique. Souvent, les victimes utilisent une protection conforme à la loi HIPAA (et ePHI) pour les courriels et d’autres systèmes, mais sont toujours victimes d’erreurs humaines.

La clé ici est qu’il est difficile de quantifier les attaques qui ne se sont pas produites (à moins que vous ne soyez un professionnel de la gestion des risques, bien sûr), mais comprendre ce qui est arrivé à d’autres organisations peut aider à renforcer les mesures à prendre pour éviter que les mêmes choses ne vous arrivent. Votre solution de sécurité des courriels – ou du moins la nôtre – bloquera plus de 99,95% de tous les pourriels, dont quelques-uns sont des courriels d’hameçonnage ou de rançongiciels. La formation et la sensibilisation devraient couvrir la plupart des moins de 0,05% qui restent. Il ne reste qu’un très petit risque si vous avez la solution et les programmes en place.

Nous disons souvent que la majorité des cyberattaques sont dues à une erreur humaine, mais avec les progrès dans tous les éléments de sécurité qui obligent les cybercriminels à faire preuve de créativité, il est clair que les attaquants sont maintenant plus intéressés (ou forcés) de profiter de l’erreur humaine parce que c’est là qu’ils peuvent voir des résultats.

Cybersécurité dans le secteur des soins de santé…

Le secteur de la santé est très vulnérable aux rançongiciels, aux menaces d’hameçonnage et même aux menaces internes des employés et aux pertes de données qui pourraient être évitées avec une formation et une protection appropriées. Les organisations membres de l’industrie doivent non seulement se concentrer sur la conformité à la loi HIPAA, mais aussi protéger leurs utilisateurs et leurs employés contre les courriels d’hameçonnage, les URL et les pièces jointes malveillantes, les rançongiciels (y compris ceux qui ne sont pas livrés par courriel) et d’autres logiciels malveillants transmis par courriel.

Maintenant, des disques qui tombent de l’arrière des camions et des gens qui perdent des ordinateurs portables… C’est un vrai défi.

*Remarque : il y a une variation dans la valeur marchande déclarée des disques – nos recherches rapides l’évaluent entre 1,50 $ et 1000 $. Il semble évident, d’après toutes les recherches que nous avons vues, qu’en raison de leur sensibilité et de leur valeur pour commettre des fraudes, les données sur la santé sont beaucoup plus précieuses que d’autres données lorsqu’elles sont obtenues illicitement.