En 2020, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. reveló que los incidentes de violación de datos de atención médica habían aumentado hasta un nivel reportado 1,76 por día, marcando una Aumento de 25% sobre los incidentes reportados durante el año anterior (Revista HIPAA). Un “incidente” define una infracción que afecta a 500 registros o más.
Además, 2019 fue un año récord por sí mismo, con un aumento del 37,4 en incidentes denunciados con respecto a 2018. Aproximadamente 59% de estas brechas de seguridad en sanidad Estaban relacionados con ataques maliciosos.
Exposición de datos debido a ataques maliciosos
Si bien las organizaciones de atención médica han mostrado una mejora gradual en la detección de amenazas de datos y la respuesta a las violaciones, en parte debido al aumento adopción de la automatización —ha habido un aumento constante de incidentes debidos a ataques maliciosos durante la última década.
El año 2012 vio 17 incidentes debidos a ataques maliciosos — una cifra que aumentó a 148 incidentes para 2017, 312 incidentes para 2019, y 429 incidentes para el año 2020. (Revista HIPAA).
Los ataques maliciosos no desaparecerán y las organizaciones de atención médica que los aprovechan... tecnologías automatizadas Gestionar el riesgo de los datos no solo reducirá los incidentes debidos a ataques como Estafas de piratería, phishing, malware y ransomware, pero pueden gestionar mejor su respuesta ante las infracciones.
¿Cuánto valen los datos de salud de los pacientes?
Datos sensibles de pacientes como información médica protegida (PHI) — que el Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) regula estrictamente: es el más objetivo, el más valorado y el más robado por los piratas informáticos.
En comparación con otros tipos de datos personales o sensibles, los datos de salud generan una suma considerable en la red oscura. Si información personal como un número de seguro social se vende por... $0.53 por registro — el precio vigente en 2018 — o la información de la tarjeta de crédito se vende a $5.40 por registro, entonces un registro de salud aporta alrededor de $250.15 (Trustwave).
¿Por qué? Los datos médicos cumplen varios propósitos, como la posibilidad de comprar recetas o tratamientos. La información médica protegida (PHI) también conserva su valor a largo plazo. Si bien un titular de los datos puede detectar rápidamente un número de tarjeta de crédito robado, un paciente o un profesional sanitario podría tardar mucho más en descubrir que sus datos médicos están comprometidos.
¿Cuáles son las sanciones por una violación de datos?
Las multas y sanciones de la HIPAA son elevadas, especialmente en casos de infracciones graves. Las multas por infracciones de la HIPAA se dividen en cuatro niveles que varían desde un mínimo $100 por infracción penalización a un Multa de $50,000 por infracción.
Cada nivel (y la sanción financiera asociada) tiene en cuenta lo siguiente de la organización infractora:
- Historial previo de cumplimiento
- grado de negligencia deliberada
- estado financiero
… así como la cantidad de daño causado por la violación, y varios otros factores que el organismo regulador OCR está autorizado por ley a considerar relevantes.
Así es como se desglosan los niveles de HIPAA:
- Nivel 1:Una multa de un mínimo de $100 por infracción, hasta $50,000
Violaciones que las entidades desconocían, no podrían haberse evitado razonablemente y muestran un nivel razonable de cuidado por parte de una entidad para cumplir con la HIPAA. - Nivel 2:Una multa de un mínimo de $1,000 por infracción, hasta un máximo de $50,000
Violaciones que las entidades deberían haber conocido pero que no podrían haber evitado razonablemente ni siquiera con un cuidado razonable. - Nivel 3:Una multa de un mínimo de $10,000 por infracción, hasta $50,000
Violaciones que constituyen “negligencia intencional” de las normas de HIPAA, pero en las que se intenta corregir la violación. - Nivel 4:Una multa mínima de $50,000 por infracción
Violaciones que constituyen tanto “negligencia intencional” como ningún intento de corregir la violación.
Automatización de las violaciones de datos: cómo puede ayudar BigID
Las organizaciones de atención médica luchan por identificar exactamente qué información se reveló en una violación de datos, a quién pertenece y cómo responder, remediarla y tomar medidas al respecto de manera eficaz.
BigID ayuda a las organizaciones de atención médica a determinar el alcance total de una violación de datos, comprender con precisión qué datos se vieron afectados, implementar un plan de respuesta a incidentes para minimizar el impacto comercial, como tarifas y pérdida de reputación, y mantener los estándares de informes para reguladores, auditores y personas afectadas, todo dentro de los plazos necesarios para el cumplimiento.
Conozca sus datos
Encuentre, administre y catalogue toda la información de sus pacientes en todo el panorama, sin importar cuán aislada esté, y aplique políticas sobre todos sus datos.
Mapee sus datos con clasificación avanzada basada en ML
Clasificar automáticamente información médica protegida (PHI) a través de clasificación de próxima generación que aprovecha no sólo el descubrimiento basado en patrones, sino también:
- Clasificación ML basada en PNL y NER
- Perspectivas de IA basadas en aprendizaje profundo
- Clasificación de análisis de archivos patentada
Identificar a los usuarios afectados
Mapear las identidades de los pacientes a sus datos personales dondequiera que residan, y mantener una vista central de qué datos pertenecen a quién para una visión más granular riesgo de exposición a infraccionesCon una visión clara de los datos, los equipos pueden identificar con precisión qué usuarios corren mayor riesgo cuando se producen filtraciones de datos. Identifiquen la residencia de los usuarios afectados y cumplan con los criterios obligatorios de notificación para cada región, incluso individualmente.
Ponga en práctica su plan de respuesta a incidentes
Identifique fácilmente a qué personas notificar después de un incidente según mapeo de datos y el inventario. Comunicarse y generar informes sobre los cuales se expusieron individuos y atributos de datos personales, dentro de los plazos legales y de presentación de informes requeridos.
Garantizar el cumplimiento de las regulaciones sanitarias
Proteja a los pacientes, proveedores y pagadores cumpliendo con todos los requisitos legales de informes de violaciones de datos para todas las áreas geográficas donde su empresa realiza negocios o tiene clientes.
Implementar flujos de trabajo de remediación
Eficientemente remediar datos de alto riesgo, sensibles y regulados en toda la organización, así como gestionar excepciones, Priorizar los flujos de trabajo que delegan decisiones a las personas adecuadasy agilice todos los informes por tipo de infracción o propietario de los datos, todo en una sola interfaz.
Simplifique la investigación de violaciones de datos
La tecnología de automatización de seguridad de BigID garantiza que las organizaciones de salud puedan determinar con precisión los usuarios afectados después de un incidente de violación y simplificar su respuesta.
La sabiduría popular dicta que los incidentes de violación de datos no son una cuestión de si ocurrirán, sino de cuándo ocurrirán, y las organizaciones de atención médica corren un mayor riesgo.
Empresas que protegen de forma proactiva los datos confidenciales de sus pacientes con herramientas automatizadas, aprendizaje automático profundo, un núcleo Fundación para el descubrimiento de datos, y eficiente remediación de datos Los flujos de trabajo pueden minimizar el riesgo de los datos, impulsar la detección de amenazas a los datos y prevenir la pérdida o exposición de los datos más sensibles y vulnerables de los pacientes. Programe una demostración de BigID para saber más.
Autor
