Em 2020, o Departamento de Saúde e Serviços Humanos dos EUA, o Gabinete de Direitos Civis (OCR), revelou que os incidentes de violação de dados de saúde atingiram um número relatado 1,76 por dia, marcando um Aumento de 25% sobre incidentes relatados no ano anterior (Jornal HIPAA). Um “incidente” define uma violação que afeta 500 registros ou mais.
Além disso, 2019 foi um ano recorde por si só — com um aumento de 37,4% nos incidentes relatados em relação a 2018. Aproximadamente 59% dessas violações de segurança em assistência médica estavam ligados a ataques maliciosos.
Exposição de dados devido a ataques maliciosos
Embora as organizações de saúde tenham demonstrado uma melhoria gradual na detecção de ameaças de dados e na resposta a violações — em parte devido ao aumento adoção da automação — ainda houve um aumento constante de incidentes devido a ataques maliciosos na última década.
O ano de 2012 viu 17 incidentes devido a ataques maliciosos — um número que aumentou para 148 incidentes até 2017, 312 incidentes até 2019, e 429 incidentes até 2020. (Jornal HIPAA).
Os ataques maliciosos não vão desaparecer e as organizações de saúde que aproveitam tecnologias automatizadas gerenciar o risco de dados não só reduzirá incidentes devido a ataques como golpes de hacking, phishing, malware e ransomware, mas podem gerenciar melhor sua resposta a violações.
Quanto valem os dados de saúde do paciente?
Dados sensíveis do paciente como informações de saúde protegidas (PHI) — que o Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) regula rigorosamente — é o mais visado, valorizado e frequentemente roubado por hackers.
Comparados a outros tipos de dados pessoais ou sensíveis, os dados de saúde geram uma quantia considerável na dark web. Se informações pessoais, como um número de previdência social, forem vendidas por $0,53 por registro — o preço atual em 2018 — ou informações de cartão de crédito são vendidas a $5,40 por registro, então um registro de saúde traz em torno de $250.15 (Trustwave).
Por quê? Dados médicos atendem a diversas finalidades — incluindo a possibilidade de comprar receitas médicas ou tratamentos. As PHI também têm valor por um período mais longo. Embora o titular dos dados possa detectar rapidamente um número de cartão de crédito roubado, um paciente ou profissional de saúde pode levar muito mais tempo para descobrir dados médicos comprometidos.
Quais são as penalidades para uma violação de dados?
As multas e penalidades para a HIPAA são severas — especialmente para violações graves. As multas por violação da HIPAA são divididas em quatro níveis, que variam de um mínimo $100 por violação penalidade para um Penalidade de $50.000 por violação.
Cada nível — e a penalidade financeira associada — leva em consideração:
- histórico anterior com conformidade
- grau de negligência intencional
- situação financeira
… bem como a quantidade de dano causado pela violação e vários outros fatores que o órgão regulador OCR tem permissão por lei para considerar relevantes.
Veja como os níveis da HIPAA se dividem:
- Nível 1: Uma multa mínima de $100 por violação, até $50.000
Violações que entidades não tinham conhecimento, não poderiam ter sido razoavelmente evitadas e demonstram um cuidado razoável por parte de uma entidade para estar em conformidade com a HIPAA. - Nível 2: Uma multa mínima de $1.000 por violação, até $50.000
Violações das quais as entidades deveriam estar cientes, mas não poderiam ter evitado razoavelmente, mesmo com cuidado razoável. - Nível 3: Uma multa mínima de $10.000 por violação, até $50.000
Violações que constituem “negligência intencional” das regras da HIPAA, mas onde há uma tentativa de corrigir a violação. - Nível 4: Uma multa mínima de $50.000 por violação
Violações que constituem tanto “negligência intencional” quanto nenhuma tentativa de corrigir a violação.
Automação de violação de dados: como o BigID pode ajudar
As organizações de saúde lutam para identificar exatamente quais informações foram divulgadas em uma violação de dados, a quem elas pertencem e como responder, remediar e tomar medidas eficazes.
A BigID ajuda organizações de saúde a determinar o escopo completo de uma violação de dados, entender com precisão quais dados foram impactados, implementar um plano de resposta a incidentes para minimizar o impacto comercial, como taxas e perdas de reputação, e manter os padrões de relatórios para reguladores, auditores e indivíduos impactados — tudo dentro dos prazos necessários para conformidade.
Conheça seus dados
Encontre, gerencie e catalogue todas as informações dos seus pacientes em todo o ambiente — não importa o quão isoladas elas sejam — e aplique políticas em todos os seus dados.
Mapeie seus dados com classificação avançada baseada em ML
Classificar automaticamente informações de saúde protegidas (PHI) por meio de classificação de próxima geração que aproveita não apenas a descoberta baseada em padrões, mas também:
- Classificação de ML baseada em PNL e NER
- Insights de IA baseados em aprendizado profundo
- classificação de análise de arquivo patenteada
Identificar usuários impactados
Mapear identidades de pacientes aos seus dados pessoais onde quer que estejam e manter uma visão central de quais dados pertencem a quem para uma visão mais granular risco de exposição à violaçãoCom uma visão clara dos dados, as equipes podem identificar quais usuários correm maior risco em caso de violações de dados. Identifique a residência dos usuários afetados e siga os critérios de relatórios obrigatórios exigidos em cada região, até mesmo para cada indivíduo.
Operacionalize seu plano de resposta a incidentes
Identifique facilmente quais indivíduos notificar após um incidente com base em mapeamento de dados e inventário. Comunicar e gerar relatórios nos quais indivíduos e atributos de dados pessoais foram expostos — dentro dos prazos legais e de relatórios exigidos.
Garantir a conformidade com os regulamentos de saúde
Proteja pacientes, provedores e pagadores seguindo todos os requisitos legais de relatórios de violação de dados para todas as áreas geográficas onde sua empresa conduz negócios ou tem clientes.
Promulgar fluxos de trabalho de correção
Eficientemente remediar dados de alto risco, sensíveis e regulamentados em toda a organização — bem como gerenciar exceções, priorizar fluxos de trabalho que delegam decisões às pessoas certase simplifique todos os relatórios por tipo de violação ou proprietário dos dados — tudo em uma única interface.
Simplifique a investigação de violações de dados
A tecnologia de automação de segurança da BigID garante que as organizações de saúde possam determinar com precisão os usuários afetados após um incidente de violação — e simplificar sua resposta.
O senso comum determina que incidentes de violação de dados não são uma questão de se, mas quando — e as organizações de saúde correm maior risco.
Empresas que protegem proativamente os dados sensíveis dos seus pacientes com ferramentas automatizadas, aprendizado de máquina profundo, um núcleo fundação de descoberta de dados, e eficiente correção de dados Os fluxos de trabalho podem minimizar o risco de dados, aumentar a detecção de ameaças a dados e evitar a perda ou exposição dos dados mais sensíveis e vulneráveis dos pacientes. Agende uma demonstração do BigID para saber mais.