Les organisations de soins de santé traversent une période difficile en matière de cybersécurité.
En effet, le fait de ne pas prévenir les attaques par phishing ne justifie pas nécessairement le paiement d’une amende de conformité HIPAA. Mais le fait de ne pas mettre en œuvre des mesures de protection suffisantes pour prévenir de telles attaques pourrait causer des problèmes aux entités couvertes par cette loi sur l’accès à l’information et la protection de la vie privée.
Les pirates informatiques et les cybercriminels continuent de cibler l’industrie des soins de santé. Selon le rapport « Internet Security Threat Report 2017 » de Symantec sur les menaces de sécurité Internet, le nombre de brèches a augmenté de 22% en 2016. Avec une telle augmentation, l’industrie des soins de santé a donc enregistré le deuxième plus grand nombre d’incidents de sécurité dans le secteur des services l’an dernier.
D’autre part, les organismes de soins de santé doivent se conformer à une longue liste de règlements imposés par la loi HIPAA et faire face aux conséquences des amendes élevées pour non-conformité.
Au cours des trente derniers jours, deux règlements importants concernant les atteintes à la vie privée résultant de « petits » incidents illustrent à quel point les tâches nécessaires pour protéger les cyberenvironnements des organisations de soins de santé sont vastes. Pour ceux qui ont la responsabilité de soutenir les infrastructures informatiques dans le domaine de la santé, tout cela représente une nuit blanche.
2,5 millions de dollars d’amendes en vertu de la LPVPH
Le mois dernier, le Département de la Santé et des Services sociaux des États-Unis et l’« Office for Civil Rights » (OCR) ont annoncé le règlement d’une amende de 2,5 millions de dollars par la société CardioNet, basée en Pennsylvanie, en vertu de la loi HIPAA. La raison est la divulgation non autorisée de renseignements médicaux électroniques protégés et non sécurisés le mois dernier. Cela fait suite à une enquête de cinq ans concernant le vol de l’ordinateur portable d’un employé dans un véhicule contenant 1391 dossiers de patients.
En bref, CardioNet ne disposait pas d’un système d’analyse des risques ni de processus de gestion des risques suffisants au moment du vol. En plus du règlement financier, CardioNet doit également mettre en œuvre un plan de mesures correctives. Il s’agit de la première amende de ce genre et qui implique un fournisseur de services de santé sans fil. À noter que CardioNet est l’un des principaux fournisseurs de services mobiles de télémétrie cardiaque ambulatoire.
Ce cas est un exemple des défis de sécurité auxquels sont confrontées les organisations de soins de santé dans le monde mobile d’aujourd’hui.
Dans un autre règlement annoncé le mois dernier, le Metro Community Provider Network (MCPN) du Colorado est contraint de verser 400 000 dollars et de mettre en œuvre un plan de mesures correctives. L’enquête menée par l’OCR a révélé que le MCPN n’a pas effectué une analyse des risques en temps opportun, ni effectué une évaluation complète des risques et des vulnérabilités de son environnement ePHI (Environmental Public Health Indicators).
Cette affaire concerne également un incident qui remontait à 2012, année à laquelle le MCPN avait déposé un rapport d’atteinte à la sécurité des renseignements personnels. En effet, 3 200 dossiers de RPS (prévention des risques psychosociaux) ont été compromis et volés par un pirate informatique. La brèche a été commise parce que le pirate avait accédé aux comptes de courriel des employés à la suite d’une attaque de phishing.
Pour ce cas précis, un employé avait cliqué sur un lien qui a ensuite impliqué le déploiement de logiciels malwares sur son ordinateur, ce qui a permis au pirate de lancer l’attaque à distance. Ce clic a coûté 400 000 dollars à MCPN.
Le phishing et les keyloggers sont les véhicules de distribution les plus populaires
Aussi élevées qu’elles puissent paraître, ces amendes ne sont pas les plus importantes. Au début de février, Memorial Healthcare System (MHS) a dû débourser 5,5 millions de dollars pour régler des infractions plus importantes, car les dossiers ePHI ont été consultés par quelqu’un qui utilisait les identifiants de connexion d’un ancien employé. Cette action n’a pas été détectée pendant au moins un an.
Malheureusement, l’acquisition et l’utilisation de comptes d’employés dans le secteur de la santé sont maintenant courantes dans l’ensemble de l’industrie, comme l’indiquait récemment un article paru dans HealthcareITNews le 10 mars 2017.
L’article résume les résultats d’une étude récente selon laquelle 68% des organisations de soins de santé avaient des identifiants de courrier électronique compromis. Parmi ces comptes compromis, 76% étaient à vendre sur le dark web, et les deux moyens les plus populaires utilisés pour accéder à ces comptes étaient le phishing et les keyloggers.
Ces trois violations étaient toutes le résultat d’incidents simples et évitables, soit d’un compte de connexion compromis, soit d’un ordinateur portable volé ou encore d’un simple clic sur un e-mail de phishing.
- Selon un rapport Verizon, 43 % de toutes les atteintes à la protection des données ont eu recours au phishing.
- Le même rapport a montré que 32% des incidents de sécurité signalés étaient le résultat de vols de biens. Le fait est que la plupart des infractions impliquent les tentatives les plus simples, en particulier le phishing.
- Cette année, la plus grande brèche s’est produite à l’École de médecine de l’Université de Washington, où plus de 80 000 dossiers de patients ont été compromis, tout cela parce qu’un employé a répondu à un e-mail de phishing, conçu pour ressembler à une demande de traitement légitime.
- Ce degré de personnalisation fait partie d’une tendance croissante dans les attaques contre les soins de santé, y compris celles de ransomware dans lesquelles les souches de Ransomware as a Service (RaaS), Philadelphia, sont maintenant personnalisées spécifiquement pour l’industrie de la santé.
Tout cela montre clairement que ce n’est pas la pénétration complexe des périmètres de sécurité réseau, par des pirates informatiques insaisissables et très talentueux, qui doit préoccuper les équipes informatiques du secteur de la santé. Il s’agit plutôt se focaliser sur les éléments de base, à savoir s’assurer que tous les comptes de messagerie soient protégés par le dernier filtrage antispam, que des politiques strictes en matière de mots de passe soient appliquées, ou encore que des inventaires de localisation des données soient effectués régulièrement pour s’assurer que tous les silos de données puissent être entièrement protégés.
L’application de ces mesures de sécurité peut non seulement protéger les dossiers des patients, mais aussi permettre à votre entreprise d’économiser des millions de dollars, plutôt que d’être contraint de régler les potentiels dommages en raison d’une faille au niveau de la sécurité informatique.
Vous êtes un professionnel de l’informatique qui travaille dans le secteur de la santé et vous souhaitez assurer la protection de vos données et de vos appareils sensibles ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.com pour toute question.