Cinq violations de données signalées à l’OCR au cours du premier semestre 2021 ont compromis les données de plus d’un million de patients chacune.
La plus grande violation signalée impliquait un piratage chez un fournisseur qui travaillait avec l’assureur Florida Healthy Kids Corp. Le piratage a eu lieu sur la plate-forme d’hébergement Web de l’entreprise, selon l’assureur, qui aurait pu révéler des informations sur environ 3,5 millions de personnes qui ont demandé ou étaient inscrits à la couverture de l’assureur de novembre 2013 à décembre 2020.
Florida Healthy Kids, qui a signalé l’incident en janvier, a déclaré avoir été informé de la violation en décembre.
Le HHS donne aux entités couvertes par la HIPAA 60 jours à compter du moment où elles découvrent une violation de données pour en informer le département, de sorte que certains des incidents signalés à l’OCR jusqu’à présent cette année ont été découverts fin 2020 et peuvent avoir eu lieu encore plus tôt.
L’assureur a déclaré que les adresses de plusieurs milliers de personnes – un sous-ensemble des 3,5 millions de personnes signalées à l’OCR – qui ont demandé la couverture Florida KidCare de l’assureur en ligne avaient été “accédées et falsifiées de manière inappropriée” par des pirates. D’autres informations n’avaient apparemment pas été modifiées.
Florida Healthy Kids est l’un des derniers exemples d’une organisation de soins de santé devant informer les patients de l’exposition de données après une violation dans une entreprise tierce. Depuis février, Kroger Co. a informé des milliers de patients qui ont partagé des données avec la branche santé de l’entreprise d’une violation massive chez Accellion, une entreprise avec laquelle elle a passé un contrat pour des services de transfert de fichiers.
De nombreuses organisations ont également signalé des piratages contre leurs propres systèmes, y compris des failles majeures chez 20/20 Eye Care Network, CaptureRx et American Anesthesiology. Dans certains cas, les pirates non seulement accédaient, mais supprimaient en fait les données des systèmes des organisations.
Hamilton a mis en garde contre une nouvelle tendance en matière de ransomware, dans laquelle les pirates ne chiffreront pas les données ou le réseau d’un hôpital tout en exigeant de l’argent en échange d’une clé de déchiffrement. Au lieu de cela, les pirates suppriment de plus en plus les dossiers des patients du système d’un hôpital et menacent de les publier ou de les vendre eux si l’organisation ne paie pas.
Au printemps, l’American Hospital Association a appelé le gouvernement fédéral à jouer un rôle plus important dans la réponse aux attaques de ransomware contre le secteur de la santé, exhortant à une « campagne coordonnée » contre les gangs de ransomware, dont beaucoup opèrent en dehors des États-Unis.
Des étapes telles que la mise en œuvre de l’authentification multifacteur, la surveillance des appareils connectés au réseau d’une organisation, la restriction des sites que les employés peuvent utiliser sur les ordinateurs de l’entreprise, comme la messagerie personnelle ou Facebook, deux moyens par lesquels les pirates peuvent envoyer des messages de phishing, et la sauvegarde régulière des données peuvent aider les hôpitaux se protéger contre les violations.
Compte tenu de la prévalence des ransomwares et autres cyberattaques, les hôpitaux et leur personnel doivent être préparés et prendre des mesures préventives, même s’ils n’ont pas été touchés par des logiciels malveillants dans le passé, a déclaré Maya Levine, ingénieur marketing technique pour la sécurité du cloud chez Check Point, société de cybersécurité. Technologies logicielles.
“Fonctionner en supposant que” nous aurons une attaque de ransomware à un moment donné “”, a-t-elle déclaré. « Les attaques de ransomware sont perturbatrices pour tous les secteurs », mais dans le domaine de la santé, « la vie des gens est… en jeu ».
