Comment prévenir les violations de données dans le secteur de la santé

Que se passe-t-il si un médecin des urgences n'a pas accès au dossier médical d'un patient ?

Pire encore, que se passe-t-il si le patient est seul et inconscient ?

Sans dossier médical, les médecins pourraient passer à côté de faits cruciaux qui changeraient complètement le cours du traitement - comme une allergie à un médicament qui mettrait la vie du patient en danger. Les médecins doivent disposer d'informations précises 24 heures sur 24, 7 jours sur 7, dès l'arrivée du patient.

Et les soins de santé ne se limitent plus aux murs d'un hôpital. Le parcours du patient, de l'admission à la sortie de l'hôpital - appelé boucle périopératoire - inclut désormais des laboratoires, des pharmacies, d'autres organismes de prestation de soins de santé (OPS) et d'autres entités.

Tous ont besoin d'un accès en temps réel à des informations actualisées sur les patients.

C'est là toute la beauté des systèmes de dossiers médicaux électroniques (DME). Ces systèmes nous permettent de partager des données cliniques avec les patients et les autres acteurs de la boucle périopératoire.

Les DSE nous aident à fournir des soins continus et de meilleurs résultats aux patients. Mais ce vaste écosystème numérique est de plus en plus exposé au risque d'une violation de données - et alors que la boucle périopératoire continue de s'étendre, la sécurité des données de santé est dangereusement à la traîne.

En tant que personne travaillant en première ligne, je sais que vous conviendrez que le secteur des soins de santé aurait dû faire l'objet d'une intervention.

1. État de la sécurité des soins de santé
2. Les 5 piliers de la sécurité numérique des soins de santé
3. Conséquences des violations de données dans le secteur de la santé
4. Prévenir les violations de données dans le secteur de la santé

Les soins de santé sont au cœur d'une transformation passionnante.

Les systèmes de DSE permettent aux hôpitaux et à d'autres organisations de partager et de collaborer en temps réel. Le big data permet aux directeurs des services de santé de répondre de manière proactive aux nouveaux besoins des patients. Enfin, les dispositifs médicaux connectés repoussent les limites des soins bien au-delà de la chambre d'hôpital.

Ces tendances contribuent à l'amélioration et à la rapidité des soins, ainsi qu'à l'obtention de résultats plus positifs pour les patients.

Mais ils révèlent également à quel point nous avons pris du retard dans l'établissement de normes visant à sécuriser les systèmes sur lesquels ils reposent.

La gestion des informations de santé protégées (PHI) est l'un des plus grands défis auxquels sont confrontés les organismes de santé aujourd'hui.

Imaginez les dizaines de postes de travail, d'appareils mobiles et d'appareils médicaux qui stockent et transmettent des données sous votre toit en ce moment même - sans parler de toutes les données que vous avez dans le nuage.

Votre organisation a l'obligation légale d'assurer la sécurité du dossier de chacun de vos patients. Cela signifie qu'il faut sécuriser non seulement votre réseau, mais aussi chaque appareil qui s'y trouve.

Et en tant que professionnel de l'informatique de santé, vous savez déjà que les HDO sont terriblement à la traîne lorsqu'il s'agit d'atteindre cet objectif.

Les opérations de sécurité dans le secteur de la santé manquent souvent de personnel. Il n'est pas rare qu'un seul administrateur système héroïque assume le travail de 20 personnes.

Paradoxalement, ce retard dans la sécurisation des dossiers électroniques s'explique en partie par les efforts déployés pour les mettre en œuvre. Depuis la promulgation de la loi sur les soins abordables (Affordable Care Act) en 2009, l'accent a été mis sur la mise en place de systèmes de DSE afin de profiter des financements promis. En conséquence, la sécurité informatique a été reléguée au second plan dans de nombreuses organisations.

Aujourd'hui, près de dix ans plus tard, les hôpitaux doivent encore réduire ou suspendre d'autres initiatives en raison du manque de personnel disponible.

Pourquoi le manque de professionnels de la sécurité ? Dans la plupart des cas, la réponse est l'argent.

Ce n'est un secret pour personne que de nombreux directeurs des systèmes d'information de ce pays (et les hôpitaux en particulier) sont confrontés à une pression financière importante. Les priorités concurrentes font qu'il est difficile d'augmenter les dépenses pour des éléments intangibles tels que la sécurité numérique.

Malgré la multiplication des atteintes à la sécurité, 80 % des directeurs généraux de l'informatique consacrent moins de 6 % de leur budget informatique global à la sécurité, et 50 % d'entre eux n'y consacrent qu'un maigre 3 %, voire moins.

Parallèlement, les cyberattaques deviennent de plus en plus sophistiquées. Le piratage informatique est désormais l'affaire d'attaquants parrainés par des États et de criminels organisés.

Les DSE contiennent toutes sortes de données précieuses sur pratiquement tout le monde. Il s'agit non seulement des antécédents médicaux, mais aussi d'informations personnelles telles que les numéros d'assurance sociale et les données financières telles que les informations relatives aux cartes de crédit.

En d'autres termes, c'est tout ce dont un criminel a besoin pour commettre une usurpation d'identité, une fraude fiscale, une fraude à l'assurance et bien d'autres méfaits lucratifs.

Il s'agit d'une violation de données qui risque de se produire. Et c'est ce qui se produit, avec une fréquence inquiétante.

Au-delà des murs de l'hôpital, le circuit périopératoire peut ressembler à un enchevêtrement de personnes, d'appareils et de données.

Les experts en sécurité numérique présentent les choses différemment : les données traversent les ponts entre cinq piliers, dont les hôpitaux et les autres prestataires de soins. Mark Thompson, vétéran de la sécurité, identifie ces piliers dans son Playbook for Driving Digital Healthcare Security:

1. Systèmes de DSE
2. Dispositifs médicaux connectés
3. Payeurs de soins de santé
4. Régulateurs gouvernementaux
5. Hôpitaux et autres prestataires

Avec votre HDO, ces points de contact sont la clé pour comprendre le flux de données dans le système de santé.

Les médecins font leur meilleur travail en disposant d'une multitude d'informations.

C'est pourquoi de plus en plus de praticiens(plus de 67 % au dernier recensement) collectent, stockent et échangent des données sur les patients sous forme numérique.

Depuis la promulgation de la loi HITECH en 2009, les HDO sont tenus d'utiliser les systèmes de DSE pour cinq résultats clés :

1. Améliorer la qualité, la sécurité et l'efficacité des soins de santé
2. Mieux impliquer les patients et les familles dans leur santé
3. Améliorer la coordination des soins
4. Améliorer la santé globale de la population et la santé publique
5. Garantir une protection adéquate de la vie privée et de la sécurité des données des patients

Ce cinquième élément - la protection de la vie privée et la sécurité des données relatives aux soins de santé - est au cœur de tout ce que nous espérons réaliser. Les DSE ne peuvent être utilisés pour améliorer les soins que si les informations sont exactes, et elles ne peuvent être exactes que si elles sont sécurisées.

Qu'ils soient fixes, de chevet ou portables, les dispositifs médicaux connectés ont déjà contribué à améliorer les résultats pour des milliers de patients.

Aujourd'hui, il existe plus de 190 000 dispositifs médicaux connectés rien qu'aux États-Unis. Les hôpitaux comptent en moyenne entre 10 et 15 appareils connectés par lit.

Les fabricants de dispositifs médicaux ne sont pas les seuls à faire des vagues sur le marché de l'internet des objets médicaux (IoMT). Des géants de la consommation comme Apple ont également l'intention de pénétrer le marché de la santé, qui représente 7 000 milliards de dollars.

Mais le nombre croissant de dispositifs médicaux IoT dans le circuit périopératoire pose de plus grands défis en matière de sécurité. Des dispositifs compromis ont déjà été utilisés à mauvais escient pour infiltrer des réseaux hospitaliers sécurisés. D'ici 2020, on prévoit que plus d'un quart des attaques contre les HDO utiliseront l'IoMT.

Il y a aussi la menace de la prise de contrôle des appareils, c'est-à-dire des cyberattaques au cours desquelles le contrôle des appareils est détourné. Cela ressemble à un film cyberpunk, mais le détournement de médicaments est une menace réelle. En fait, 38 % des directeurs des services médicaux connaissent au moins un incident au cours duquel un patient a reçu un traitement inapproprié à cause d'un dispositif médical non sécurisé.

Apprenez à construire des dispositifs médicaux fiables et sécurisés adaptés à l'IoMT dans cet eBook.

Outre les organismes qui dispensent les soins, notre système de santé comprend de nombreux payeurs : Medicare et Medicaid, la Veterans Health Administration (VHA) et d'innombrables assureurs commerciaux.

Les payeurs de soins de santé partagent le flux d'informations personnelles sur la santé en provenance et à destination des HDO. Cette interopérabilité permet aux patients d'être remboursés plus rapidement et contribue à réduire les interruptions de couverture.

Comme les HDO, les payeurs privés et publics sont également de plus en plus ciblés par les brèches dans les soins de santé. Plus de 20 violations ont été signalées par les fournisseurs de plans de santé au cours du seul premier semestre 2019.

Plusieurs niveaux de gouvernement collectent les DSE et les données relatives à la santé. Certaines de ces données sont accessoires à d'autres fonctions gouvernementales, tandis que d'autres sont collectées pour étudier et améliorer le système de soins de santé de diverses manières :

• Les États et les collectivités locales fournissent des soins directement par l'intermédiaire des hôpitaux publics, ce qui représente environ 14 % de l'ensemble des soins aux patients hospitalisés. Le gouvernement fédéral fournit des soins à 6,5 millions de patients chaque année par l'intermédiaire de l'Administration des anciens combattants.
• De nombreux États collectent des données auprès des payeurs pour les bases de données des réclamations de tous les payeurs (APCD), ce qui facilite le partage des DSE.
• Tous les niveaux de gouvernement exercent une surveillance de la santé publique afin de soutenir les initiatives de contrôle et de prévention des maladies.
• Diverses agences gouvernementales donnent accès à des données anonymes sur la santé afin de faciliter la recherche et d'éclairer la politique de santé publique.
• Des activités non liées, telles que les déductions fiscales médicales déclarées à l'Internal Revenue Service, impliquent également la collecte de PHI.

Bien entendu, le gouvernement est également chargé de réglementer la manière dont les HDO et d'autres entités traitent les PHI et les EHR. La loi HIPAA (Health Insurance Portability and Accountability Act) impose la sécurité de toutes les informations personnelles identifiables (PII), qu'elles soient au repos ou en cours de transmission.

Depuis 2016, le champ d'application de la loi s'étend aux applications IoMT et aux applications liées aux soins de santé.

La réalité est que de plus en plus d'HDO sont victimes de la cybercriminalité chaque année, exposant des millions de patients et compromettant les systèmes de soins critiques.

L'année dernière, il y a eu plus de 503 violations de données dans le secteur de la santé, affectant plus de 15 millions de dossiers de patients. Au cours de la même période, 82 % des services informatiques des hôpitaux ont connu des incidents de sécurité importants.

Et ce, rien qu'en 2018.

Un jour, cela arrivera à votre organisation. Vous ne pouvez pas savoir quand ni d'où viendra l'attaque. Tout ce que vous pouvez faire, c'est prendre des mesures pour éviter une violation de données lorsqu'elle se produira.

Lorsqu 'une brèche importante se produit, les retombées commencent avant même que vous n'ayez ramassé les morceaux.

Le nom de votre employeur est en vogue sur Twitter. Le visage de votre PDG est en première page. En coulisses, vous et vos collègues avez passé une nuit blanche à essayer de remettre les choses en ordre.

Mais ce n'est pas tout.

Dans le pire des cas, une violation de données peut devenir une question de vie ou de mort.

C'est ce qui s'est passé lorsque 16 hôpitaux ont été touchés par une souche du ransomware WannaCry au Royaume-Uni. L'infection s'est rapidement propagée aux infrastructures hospitalières essentielles, notamment aux systèmes de dossiers électroniques de santé et aux équipements tels que les appareils d'IRM et d'échographie.

Il a fallu deux semaines pour que les hôpitaux recommencent à fonctionner normalement. Au cours de cette période :

• Les ambulances ont dû faire des détours vers d'autres hôpitaux.
• 19 000 rendez-vous ont dû être annulés.
• Des interventions chirurgicales ont été annulées dans les minutes qui ont suivi leur début.

Le secteur des soins de santé est celui qui paie le plus lourd tribut financier en cas de violation: 408 dollars par dossier médical compromis. En moyenne, les cyberattaques contre les HDO coûtent 1,4 million de dollars en efforts de récupération.

Il n'est pas surprenant que les hôpitaux soient les plus durement touchés par ces incidents, une seule violation pouvant leur coûter jusqu'à 7 millions de dollars en amendes, litiges et atteintes à leur réputation.

Dès qu'un dossier de patient non crypté est mis sur le marché noir (au prix de 50 dollars par dossier, il y a de fortes chances qu'il le soit), votre organisation s'expose à des amendes réglementaires et à des actions collectives en justice.

L'incident le plus grave jusqu'à présent - la violation d'Anthem en 2015 - a coûté à l'entreprise 140 millions de dollars rien qu'en frais juridiques et réglementaires.

Voici ce qui est en jeu dans la sécurisation de votre HDO : des millions de dollars perdus en revenus et en indemnités légales, des heures de travail perdues et le risque d'atteinte à vos patients les plus vulnérables.

Il est difficile de savoir par où commencer tant il y a de choses à couvrir.

Dans le secteur des soins de santé, il existe une idée fausse qui rend la sécurisation de la boucle périopératoire encore plus difficile.

Il s'agit de la différence entre la conformité et la sécurité.

La conformité et la sécurité ne sont-elles pas une seule et même chose ? En bref : non, tout simplement.

La conformité fait référence aux exigences réglementaires que vous et vos collègues devez respecter pour rester en conformité avec la loi. Il s'agit des réglementations que vous trouverez dans la règle de sécurité HIPAA, HITECH et toute législation spécifique à l'État.

La sécurité, quant à elle, correspond aux mesures spécifiques que vous prenez pour protéger votre réseau, vos données et vos appareils.

Vous pouvez être conforme à 100 % à la loi HIPAA tout en étant vulnérable à une violation de la sécurité.

Vous devrez aller au-delà du strict minimum requis par la loi pour éviter toute violation. Mais les mesures de sécurité vous aideront à rester en conformité, d'autant plus que la FDA continue de renforcer les réglementations relatives à l'IoMT et à d'autres technologies émergentes.

Les étapes suivantes sont essentielles à la mise en œuvre d'une stratégie globale de sécurité numérique dans tout HDO :

1. Évaluation des risques liés à la sécurité numérique
2. Formation du personnel
3. Embarquement pour les dispositifs médicaux
4. Réseaux sécurisés
5. Cryptage
6. Gestion de l'identité numérique
7. Plan de réponse aux incidents

L'évaluation des risques n'est pas une nouveauté. Elle est imposée par l'HIPAA depuis 2003. Il y a de fortes chances que vous ayez fermé le livre sur cette exigence particulière il y a longtemps.

Mais beaucoup de choses ont changé depuis.

Peu importe que votre dernière évaluation des risques remonte à l'année dernière ou au mois dernier. Quelque chose a changé dans votre organisation. De nouvelles personnes, de nouveaux software, de nouveaux appareils, une nouvelle infrastructure.

La prévention des atteintes aux soins de santé exige une vigilance constante.

Il faut se rendre à l'évidence. Toutes les personnes qui travaillent dans le secteur de la santé ne sont pas aussi férues de données que vous.

Le manque de sensibilisation de vos collègues, y compris des prestataires de soins comme les médecins, sera toujours l'une de vos plus grandes vulnérabilités.

58 % des tentatives d'intrusion dans le secteur de la santé impliquent des acteurs internes, mais ces intrusions ne sont pas toujours malveillantes. Se laisser piéger par des attaques de phishing ou de ransomware, utiliser une version non corrigée du site software ou transporter des dispositifs de stockage non cryptés, tout cela peut aboutir à une violation innocente (mais non moins grave).

L'HIPAA exige déjà que chaque HDO propose une formation de sensibilisation à la sécurité à l'ensemble de son personnel, y compris les cadres supérieurs. Mais de nombreuses organisations, en particulier celles qui connaissent une forte rotation du personnel, ne parviennent pas à satisfaire à cette exigence.

Cette étape est essentielle pour tous vos autres efforts en matière de sécurité. Une fois que vos collègues sont impliqués et conscients des risques potentiels, vous pouvez vous concentrer sur les menaces externes.

La sécurité dans le secteur des soins de santé est différente de celle des autres secteurs.

C'est une affaire personnelle. Des vies sont en jeu.

Les dispositifs médicaux devraient donc bénéficier d'une sécurité à toute épreuve dès le départ. Mais si vous avez déjà intégré de nouveaux dispositifs, vous savez que ce n'est pas toujours le cas.

Les fabricants de dispositifs médicaux (MDM) ont une part de responsabilité dans la protection des patients, et il existe des technologies qui rendent la sécurité des dispositifs OEM infaillible. Mais les fabricants ne sont pas les seuls à devoir assurer la sécurité.

Votre équipe de sécurité doit être le gardien. Aucun nouveau dispositif ne peut entrer dans votre écosystème si vous n'avez pas la certitude qu'il ne mettra pas vos patients en danger.

Au minimum, votre processus d'intégration doit garantir que les appareils IoMT sont utilisés :

• Signature du code pour s'assurer qu'il n'installe que des microprogrammes et des correctifs correctement vérifiés.
• Certificats numériques uniques pour chaque appareil
• Stockage de clés privées pour les opérations cryptographiques basées sur le site hardware dans la mesure du possible
• Racine de confiance propre à l'organisation (RoT)
• Capacité complète de gestion du cycle de vie des appareils pour assurer leur sécurité à long terme

La sécurité du réseau est la première ligne de défense de votre HDO contre les cyberattaques potentielles.

La plupart des experts en sécurité recommandent de segmenter vos réseaux en sous-réseaux distincts pour différentes applications: un pour vos patients et visiteurs, un autre pour le personnel de l'HDO, et un autre pour les appareils médicaux et autres applications qui permettent l'accès aux patients.

Cette mesure simplifie grandement la tâche de surveillance de l'activité sur vos réseaux et vous permet de donner la priorité à différents sous-réseaux à des fins de sécurité.

L'HIPAA n'impose pas l'utilisation du cryptage pour les dossiers médicaux électroniques.

Mais elle devrait l'être.

La cryptographie est l'un des outils de sécurité les plus importants à votre disposition. Le cryptage protège efficacement les PHI lors de leur stockage et de leur transmission.

L'efficacité est telle que vous n'êtes pas tenu de signaler une violation des dossiers cryptés. Même en cas de violation des données, un pirate ne peut pas les utiliser à mauvais escient et le risque pour les patients est minime.

Les serveurs, les terminaux, les appareils mobiles et médicaux bénéficient tous d'une couche de cryptage.

Rapidement : combien d'entités vivent actuellement sur votre réseau ?

Avec autant de personnes et d'appareils accédant aux PHI, il est essentiel de savoir qui est qui. Le moyen le plus sûr d'y parvenir est l'infrastructure à clé publique (PKI).

PKI est l'étalon-or de la gestion des identités numériques dans un HDO. Il s'agit d'un système complexe en coulisses, mais il n'est pas nécessaire de connaître tous les calculs pour en reconnaître la valeur.

Les certificats numériques permettent à diverses entités (appareils, ordinateurs et codes) d'envoyer et de communiquer en toute sécurité à travers votre réseau. Ils garantissent que seuls les destinataires prévus peuvent envoyer et recevoir des informations essentielles sur la santé.

Les certificats permettent également aux plateformes et applications IoMT de valider l'intégrité des données et de la programmation envoyées vers et depuis chaque appareil, ce qui est essentiel pour prévenir les attaques de prise de contrôle des appareils ou de détournement de médicaments.

Revenons à la question. Combien d'entités vivent sur votre réseau ? Qui sont-elles ? Pouvez-vous vérifier leurs identités numériques et leur faire confiance ?

Si vous n'êtes pas sûr, il existe des outils qui peuvent vous aider. Depuis plus de quinze ans, Keyfactor fournit aux organismes de santé les outils, la technologie et l'assistance dont ils ont besoin pour maîtriser chaque identité numérique. Keyfactor™ Command simplifie l'identification, le catalogage, le suivi, l'émission et la révocation des certificats numériques sur plusieurs plateformes. Notre plateforme est utilisée par des hôpitaux, des sociétés pharmaceutiques, des fabricants d'appareils et des agences gouvernementales. La technologie et les flux de travail de Keyfactor sont conçus et mis en œuvre de manière unique pour répondre à l'environnement et aux exigences spécifiques de votre organisation en matière de certificats.

Les cyberattaques ne sont jamais annoncées à l'avance. Il est impossible de savoir quand une attaque se produira, d'où elle viendra et quelle sera l'ampleur des dégâts qu'elle causera à votre système informatique.

Les violations majeures de données sont chaotiques, surtout dans les premiers temps. L'un des plus grands défis auxquels vous serez confronté par la suite sera de décider ce qu'il faut faire en premier.

Qui doit être informé ? Que devez-vous faire en premier lieu ? Quelles sont les ressources disponibles pour vous aider ?

C'est là qu'intervient votre plan d'intervention en cas d'incident. Il ne suffit pas de former le personnel à la prévention d'une violation. Ils auront également besoin d'être guidés lorsqu'il s'agira de réagir.

N'oubliez pas que 82 % des services informatiques des hôpitaux ont signalé un incident de sécurité important au cours de l'année écoulée. La question n'est pas de savoir si vous serez victime d'une brèche, mais quand.

Téléchargez notre dernier eBook pour obtenir votre guide de la sécurité numérique dans le secteur de la santé.