Em 2020, o Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos EUA revelou que os incidentes de violação de dados na área da saúde haviam aumentado para um número relatado. 1,76 por dia, marcando um aumento de 25% mais incidentes relatados do ano anterior (Revista HIPAAUm "incidente" é definido como uma violação que afeta 500 registros ou mais.
Além disso, 2019 foi um ano recorde por si só, com um aumento de 37,4% nos incidentes relatados em relação a 2018. Aproximadamente 59% dessas violações de segurança em assistência médica estavam relacionadas a ataques maliciosos.
Exposição de dados devido a ataques maliciosos
Embora as organizações de saúde tenham demonstrado uma melhoria gradual na detecção de ameaças aos dados e na resposta a violações — em parte devido ao aumento adoção da automação — Ainda assim, houve um aumento constante nos incidentes devido a ataques maliciosos na última década.
O ano de 2012 viu 17 incidentes devido a ataques maliciosos — um número que aumentou para 148 incidentes até 2017, 312 incidentes até 2019, e 429 incidentes até 2020. (Revista HIPAA).
Os ataques maliciosos não vão desaparecer, e as organizações de saúde que os utilizam estão sujeitas a eles. tecnologias automatizadas Gerenciar o risco de dados não apenas reduzirá incidentes devido a ataques como golpes de hackers, phishing, malware e ransomwaremas podem gerenciar melhor sua resposta a incidentes.
Qual o valor dos dados de saúde do paciente?
Dados sensíveis do paciente como Informações de saúde protegidas (PHI) — que o Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) A regulamentação rigorosa é o fator mais visado, valioso e frequentemente roubado por hackers.
Em comparação com outros tipos de dados pessoais ou sensíveis, os dados de saúde rendem uma quantia considerável na dark web. Se informações pessoais como um número de segurança social são vendidas por... $0,53 por registro — o preço vigente em 2018 — ou informações de cartão de crédito são vendidas por $5,40 por registro, então um registro de saúde traz cerca de $250.15 (Trustwave).
Por quê? Os dados médicos servem a vários propósitos — incluindo a possibilidade de comprar medicamentos ou adquirir tratamento. As informações de saúde protegidas (PHI, na sigla em inglês) também têm valor por um período mais longo. Embora o titular dos dados possa detectar rapidamente um número de cartão de crédito roubado, um paciente ou profissional de saúde pode levar muito mais tempo para saber que seus dados médicos foram comprometidos.
Quais são as penalidades por violação de dados?
As multas e penalidades por violação da HIPAA são elevadas, especialmente para infrações graves. As multas por violação da HIPAA são divididas em quatro níveis, que variam de um mínimo $100 por violação penalidade para um Multa de 50.000 por violação ($).
Cada nível — e a respectiva penalidade financeira — leva em consideração os seguintes aspectos da organização infratora:
- histórico anterior com conformidade
- grau de negligência intencional
- situação financeira
…bem como a extensão dos danos causados pela violação, e diversos outros fatores que o órgão regulador OCR está legalmente autorizado a considerar relevantes.
Eis como os níveis do HIPAA se dividem:
- Nível 1Multa mínima de $100 por infração, podendo chegar a $50.000.
Violações que as entidades desconheciam, que não poderiam ter sido razoavelmente evitadas e que demonstram um nível razoável de cuidado por parte da entidade para estar em conformidade com a HIPAA. - Nível 2Multa mínima de $1.000 por infração, podendo chegar a $50.000.
Violações que as entidades deveriam ter conhecido, mas que não poderiam ter evitado razoavelmente, mesmo com o devido cuidado. - Nível 3Multa mínima de $10.000 por infração, podendo chegar a $50.000.
Violações que constituem "negligência intencional" das normas da HIPAA, mas em que se tenta corrigir a violação. - Nível 4Multa mínima de $50.000 por infração.
Violações que constituem tanto "negligência intencional" quanto a ausência de qualquer tentativa de corrigir a violação.
Automação de violações de dados: como a BigID pode ajudar
Organizações de saúde têm dificuldades para identificar Exatamente quais informações foram divulgadas em uma violação de dados, a quem pertencem e como responder, remediar e tomar medidas eficazes em relação a isso.
A BigID ajuda organizações de saúde a determinar a extensão total de uma violação de dados, a entender com precisão de quem foram os dados afetados, a implementar um plano de resposta a incidentes para minimizar o impacto nos negócios, como custos e perda de reputação, e a manter os padrões de relatórios para reguladores, auditores e indivíduos afetados — tudo dentro dos prazos necessários para a conformidade.
Conheça seus dados
Encontre, gerencie e catalogue todas as informações de seus pacientes em todo o ambiente — não importa o quão isoladas estejam — e aplique políticas a todos os seus dados.
Mapeie seus dados com classificação avançada baseada em aprendizado de máquina.
Classificar automaticamente Informações de saúde protegidas (PHI, na sigla em inglês) por meio de classificação de última geração que aproveita não apenas a descoberta baseada em padrões, mas também:
- Classificação por aprendizado de máquina baseada em PNL e NER (Reconhecimento de Entidades Nomeadas)
- Análise de IA baseada em aprendizado profundo
- classificação de análise de arquivos patenteados
Identificar os usuários afetados
Mapear as identidades dos pacientes aos seus dados pessoais, independentemente de onde estejam armazenados, e manter uma visão centralizada de quais dados pertencem a quem, para uma análise mais detalhada. risco de exposição à violaçãoCom uma visão clara dos dados, as equipes podem identificar quais usuários correm maior risco quando ocorrem violações de dados. Identifique a residência dos usuários afetados e siga os critérios de notificação obrigatórios exigidos para cada região, até o nível individual.
Operacionalize seu Plano de Resposta a Incidentes
Identifique facilmente quais indivíduos notificar após um incidente com base em mapeamento de dados e inventário. Comunicar e gerar relatórios sobre quais indivíduos e atributos de dados pessoais foram expostos — dentro dos prazos legais e de reporte exigidos.
Garantir a conformidade com os regulamentos de saúde
Proteja pacientes, prestadores de serviços e financiadores, cumprindo todos os requisitos legais de notificação de violação de dados em todas as áreas geográficas onde sua empresa opera ou possui clientes.
Implementar fluxos de trabalho de remediação
Eficientemente remediar dados de alto risco, sensíveis e regulamentados em toda a organização — bem como gerenciar exceções, Priorize fluxos de trabalho que deleguem decisões às pessoas certas.e simplificar todos os relatórios por tipo de violação ou proprietário dos dados — tudo em uma única interface.
Simplifique a investigação de dados de violação de dados.
A tecnologia de automação de segurança da BigID garante que as organizações de saúde possam determinar com precisão os usuários afetados após um incidente de violação de segurança — e simplificar sua resposta.
O senso comum indica que os incidentes de violação de dados não são uma questão de "se", mas de "quando" ocorrerão — e as organizações de saúde correm um risco maior.
Empresas que protegem proativamente os dados sensíveis de seus pacientes com ferramentas automatizadas, aprendizado profundo de máquina e um núcleo fundação de descoberta de dadose eficiente remediação de dados Os fluxos de trabalho podem minimizar o risco de dados, aprimorar a detecção de ameaças aos dados e evitar a perda ou exposição dos dados mais sensíveis e vulneráveis dos pacientes. Agende uma demonstração do BigID para saber mais.
Autor
