En 2020, le Bureau des droits civils (OCR) du Département de la Santé et des Services sociaux des États-Unis a révélé que les incidents de violation de données de santé avaient atteint un niveau signalé. 1,76 par jour, marquant un Augmentation de 25% incidents signalés au cours de l'année précédente (Journal HIPAA). Un « incident » définit une violation qui affecte 500 enregistrements ou plus.
De plus, 2019 a été une année record en soi, avec une augmentation de 37,4 % des incidents signalés par rapport à 2018. 59% de ces failles de sécurité dans soins de santé étaient liés à des attaques malveillantes.
Exposition des données due à des attaques malveillantes
Bien que les organisations de soins de santé aient montré une amélioration progressive de la détection des menaces de données et de la réponse aux violations, en partie grâce à une augmentation adoption de l'automatisation — on constate une augmentation constante des incidents dus à des attaques malveillantes au cours de la dernière décennie.
L'année 2012 a vu 17 incidents dus à des attaques malveillantes — un chiffre qui a augmenté à 148 incidents d'ici 2017, 312 incidents d'ici 2019, et 429 incidents d'ici 2020. (Journal HIPAA).
Les attaques malveillantes ne vont nulle part, et les organisations de santé qui en tirent parti technologies automatisées gérer les risques liés aux données permettra non seulement de réduire les incidents dus à des attaques telles que escroqueries par piratage, phishing, logiciels malveillants et ransomware, mais peuvent mieux gérer leur réponse aux violations.
Quelle est la valeur des données de santé des patients ?
Données sensibles des patients comme informations médicales protégées (PHI) — lequel le Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) réglemente strictement — est le plus ciblé, le plus apprécié et le plus fréquemment volé par les pirates informatiques.
Comparées à d'autres types de données personnelles ou sensibles, les données de santé rapportent des sommes considérables sur le dark web. Si des informations personnelles comme un numéro de sécurité sociale sont vendues $0,53 par enregistrement — le prix courant en 2018 — ou les informations de carte de crédit se vendent à $5,40 par enregistrement, puis un dossier médical rapporte environ $250.15 (Trustwave).
Pourquoi ? Les données médicales servent à plusieurs fins, notamment pour acheter des ordonnances ou des traitements. Les données médicales personnelles ont également une valeur à plus long terme. Si une personne concernée peut rapidement détecter un numéro de carte de crédit volé, un patient ou un praticien peut mettre beaucoup plus de temps à découvrir que des données médicales ont été compromises.
Quelles sont les sanctions en cas de violation de données ?
Les amendes et pénalités liées à la loi HIPAA sont élevées, en particulier pour les infractions graves. Les amendes pour violation de la loi HIPAA sont réparties en quatre niveaux, allant du minimum $100 par violation pénalité à un $50 000 pénalité par violation.
Chaque niveau — et la sanction financière associée — prend en compte les éléments suivants de l'organisation contrevenante :
- antécédents de conformité
- degré de négligence volontaire
- situation financière
… ainsi que l’ampleur du préjudice causé par la violation, et plusieurs autres facteurs que l’organisme de réglementation OCR est autorisé par la loi à juger pertinents.
Voici comment se répartissent les niveaux de la loi HIPAA :
- Niveau 1:Une amende d'au moins 100 TP4T par infraction, jusqu'à 50 000 TP4T
Violations dont les entités n'avaient pas connaissance, qui n'auraient pas pu être raisonnablement évitées et qui démontrent un niveau raisonnable de diligence de la part d'une entité pour être conforme à la loi HIPAA. - Niveau 2:Une amende d'au moins 1 000 TP4T par infraction, jusqu'à 50 000 TP4T
Violations dont les entités auraient dû avoir connaissance mais qu’elles n’auraient pas pu raisonnablement éviter, même en faisant preuve d’une diligence raisonnable. - Niveau 3:Une amende d'au moins 10 000 TP4T par infraction, jusqu'à 50 000 TP4T
Violations qui constituent une « négligence volontaire » des règles HIPAA, mais où une tentative est faite pour corriger la violation. - Niveau 4:Une amende d'au moins $50 000 par infraction
Violations qui constituent à la fois une « négligence volontaire » et une absence de tentative de correction de la violation.
Automatisation des violations de données : comment BigID peut vous aider
Les organisations de soins de santé ont du mal à identifier exactement quelles informations ont été divulguées lors d'une violation de données, à qui elles appartiennent et comment réagir, remédier et prendre des mesures efficaces à ce sujet.
BigID aide les organisations de soins de santé à déterminer l'étendue complète d'une violation de données, à comprendre avec précision quelles données ont été affectées, à mettre en place un plan de réponse aux incidents pour minimiser l'impact commercial comme les frais et la perte de réputation, et à respecter les normes de reporting pour les régulateurs, les auditeurs et les personnes concernées, le tout dans les délais nécessaires à la conformité.
Connaître ses données
Recherchez, gérez et cataloguez toutes les informations de vos patients dans l'ensemble du paysage, quel que soit leur degré de cloisonnement, et appliquez une politique à toutes vos données.
Cartographiez vos données grâce à une classification avancée basée sur le ML
Classer automatiquement informations de santé protégées (PHI) via classification de nouvelle génération qui exploite non seulement la découverte basée sur des modèles, mais également :
- Classification ML basée sur le PNL et le NER
- Des informations issues de l'IA basées sur l'apprentissage profond
- classification d'analyse de fichiers brevetée
Identifier les utilisateurs concernés
Cartographier les identités des patients à leurs données personnelles où qu'elles se trouvent, et de conserver une vue centralisée de quelles données appartiennent à qui pour une vue plus granulaire risque d'exposition aux violationsGrâce à une vision claire des données, les équipes peuvent identifier les utilisateurs les plus exposés aux risques en cas de violation de données. Identifier la résidence des utilisateurs concernés et suivre les critères de signalement obligatoires pour chaque région, jusqu'à l'individu.
Opérationnalisez votre plan de réponse aux incidents
Identifiez facilement les personnes à avertir après un incident en fonction de cartographie des données et l'inventaire. Communiquer et générer des rapports sur lesquels les individus et les attributs des données personnelles ont été exposés — dans les délais légaux et de déclaration requis.
Assurer le respect des réglementations en matière de santé
Protégez les patients, les prestataires et les payeurs en respectant toutes les exigences légales en matière de déclaration des violations de données pour toutes les zones géographiques où votre entreprise exerce ses activités ou a des clients.
Mettre en œuvre des flux de travail de remédiation
Efficacement remédier données à haut risque, sensibles et réglementées dans l'ensemble de l'organisation, ainsi que gérer les exceptions, prioriser les flux de travail qui délèguent les décisions aux bonnes personneset rationalisez tous les rapports par type de violation ou par propriétaire de données, le tout dans une seule interface.
Simplifier l'enquête sur les violations de données
La technologie d'automatisation de la sécurité de BigID garantit que les organisations de santé peuvent déterminer avec précision les utilisateurs concernés à la suite d'un incident de violation et simplifier leur réponse.
La sagesse populaire veut que les incidents de violation de données ne soient pas une question de si, mais de quand, et les organisations de soins de santé sont exposées à un risque accru.
Les entreprises qui protègent proactivement les données sensibles de leurs patients avec des outils automatisés, apprentissage automatique profond, un noyau fondation de découverte de données, et efficace correction des données Les flux de travail peuvent minimiser les risques liés aux données, améliorer la détection des menaces liées aux données et empêcher la perte ou l'exposition des données les plus sensibles et les plus vulnérables des patients. Planifier une démonstration de BigID pour en savoir plus.
Auteur
