la sécurité des organismes de santé sont dans un état critique.

la sécurité des organismes de santé

la sécurité des organismes de santé sont dans un état critique.

Les organismes de santé sont-ils plus vulnérables aux violations des données que d’autres industries?

Selon la sixième étude comparative annuelle de Ponemon sur la confidentialité & la sécurité de données des organismes de santé (69 pour cent) et leurs partenaires associés tiers (63 pour cent) ont vraiment l’impression d’avoir une cible dans leurs dos. Cependant, cette information n’a pas nécessairement aboutit à l’adoption d’une action préventive dans plusieurs organismes de santé ou du BA qui les soutient. Les violations de données en soins de santé continuent de mettre les données sur les patients à risque et deviennent de plus en plus exorbitantes et fréquents. Selon les estimations de Ponemon, les violations des données auront déjà coûtées $6,2 milliards au secteur de la santé.

Patients à risque d’usurpation d’identité financière

Alors que bon nombre des violations de données signalées par les répondants de l’étude étaient réduites à moins de 500 cas enregistrés, près de 90 pour cent d’organismes de santé participant à cette étude ont indiqué qu’ils ont été victimes d’une violation de données au cours des deux dernières années, tandis que 45 pour cent ont enregistré plus de cinq violations de données pendant la même période. Selon les estimations de Ponemon, au cours des deux dernières années, la moyenne d’un coût de violation de données des organismes de santé a été chiffrée $2,2 millions, tandis que les coûts des BA étaient à plus de $1 million. Les tops fichiers volés : dossiers médicaux, dossiers de facturation et d’assurance, et des détails de paiement, mettant les patients non seulement à risque pour exposition des informations à caractère personnel, mais aussi pour usurpation d’identité financière.

Négligence de l’employé, source d’inquiétude

Ce qui est évident avec les données est que la négligence de l’employé(e) et la mauvaise manipulation de données sensibles des patients demeurent une grande source de préoccupation, selon la violation de données avec algorithme de Verizon, 23 percent de violations de données signalées en soins de santé sont issues des privilèges et des abus. Selon le rapport de Ponemon, 69 pour cent des répondants des organismes de santé ont évoqué « la négligence ou l’imprudence des employé(e)s » comme type d’incident sécuritaire les inquiétant le plus, comparé aux 45 pour cent qui ont évoqué les cyber attaquants et les 30 pour cent attribués à l’utilisation des appareils non sécurisés.

Chez BA, les cas des employé(e) négligent(e)s ou imprudent(e)s a été évoqué par 35 pour cent des répondants comme étant leur plus grande préoccupation d’incident sécuritaire. Les organismes de santé peuvent trop s’inquiéter que seulement 36 pour cent des organismes de santé aient qualifié l’action involontaire de l’employé(e) comme cause de violation des données à caractère personnel. Toutefois, l’alignement de ces estimation ainsi pour BA à 55 pour cent des actions qualifiées involontaires de ses employé(e)s comme violation de données à caractère personnel.

Données sur la santé, moins de cryptage

D’après un second rapport de Ponemon et Thales ayant suivi l’utilisation exhaustive des solutions de cryptage dans 10 secteurs d’activité industrielle au cours des trois dernières années, les organismes de santé et pharmaceutiques ont fait le plus grand bond dans l’utilisation des solutions de cryptage, avec 40 pour cent des organisations signalant désormais l’utilisation du cryptage. Toutefois, le même rapport indique également que les organisations de types de données les moins probables cryptent en général (à 21 pour cent) des informations sur la santé, résultat surprenant, compte tenu des exigences réglementaires, la sensibilité des données et les récentes cas importants d’atteinte à la protection des données en soins de santé.

Doigts accusateurs sur le financement et les ressources

Nonobstant la fréquence accrue des infractions et les coûts élevés pour faire face aux conséquences, la moitié de ses organisations estime toujours qu’ils manquent de financement et des ressources nécessaires pour la gestion des violations de données. L’intention est là, compte tenu que la plupart des entreprises ont réévalué leurs pratiques de sécurité et ont mis en place des politiques et procédures visant à réduire les violations. Toutefois, ces pratiques si bien intentionnées semblent ne pas faire grand-chose pour arrêter ces violations.

Le niveau actuel #rançongiciel de la menace des #soins de santé, entreprises, ménages & gouvernements #gov2au #sécurité https://t.co/HCVYJQQzTk

— Craig Thomler (@craigthomler) le 12 mai 2017

Pour la plupart des organisations, il s’agit des restrictions budgétaires. La majorité des organismes de santé et BA ont l’impression que leurs organisations:

  • N’ont pas fait assez d’investissements dans les technologies nécessaires pour atténuer une violation de données;
  • N’ont pas procédé au recrutement des professionnels assez chevronnés en matière de sécurité informatique;
  • N’ont pas été suffisamment financés ou fournis en ressources pour le processus de réponse aux incidents.

Les rapports de budget des organismes de santé ont été revus à la baisse depuis l’année dernière (10 pour cent des répondants) ou resté inchangés (25 pour cent). Le scénario est identique pour BA : 11 pour cent ont indiqué des réductions et 50 pour cent ont indiqué que le budget est resté inchangé.

Situation critique pour la sécurité sur la santé

En se basant sur les présents rapports, la sécurité sur la santé se trouve dans une situation critique. On enregistre des cas de violations accrues et ceci devient plus coûteux tant pour les organismes de santé que pour BA. Selon le rapport de Ponemon, la reddition de comptes pour le processus de réponse aux incidents de violation de données est dispersée dans l’ensemble de l’organisation. Cependant, les deux organismes de santé (30 pour cent) et leurs associés d’affaires (41 pour cent) accusent la fonction informatique d’être plus responsable du processus de réponse de violation de données. Cependant à qui revient la responsabilité d’arrêter de ces violations avant qu’une réaction ne s’impose?

Les Directeurs Informatiques et RSSI doivent continuer à voir le budget de leurs organisations à la hausse pour la prévention des violations de données, les intensifiant de manière à ce qu’ils deviennent une priorité opérationnelle clé à l’entreprise. Ils peuvent commencer par revoir leurs politiques et procédures afin de localiser les failles lorsqu’il s’agit de la mise œuvre desdites politiques et procédures avec les employés. La prochaine étape consiste à mener des enquêtes sur les technologies de cryptage dans le but de prévenir d’éventuelles violations, non pas seulement avec les polices d’assurances lorsqu’elles se produisent.

Par Chris Peel, ‎VP Service technique à la clientèle, Echoworx