Violation des données - Un problème croissant dans les organisations de soins de santé

De nombreux organismes de soins de santé permettent aux employés d’introduire des téléphones intelligents, des tablettes et d’autres dispositifs de collecte de données sophistiqués dans leurs bureaux et leurs réseaux, révèle la troisième étude annuelle sur la confidentialité des patients et la sécurité des données.
Les auteurs se demandent si BOYD (apportez votre propre appareil) est un danger pour la sécurité dont les organisations de soins de santé ne sont tout simplement pas au courant.
Le rapport, publié par le Ponemon Institute et le Health Information Trust Alliance, a révélé que le secteur des soins de santé reste à la traîne par rapport à la plupart des autres secteurs de l’économie en ce qui concerne l’arrêt des violations de données.
Le rapport de 2012 indique que 94% des 80 organisations de soins de santé ayant participé à une enquête ont admis au moins une violation de données au cours des 24 derniers mois; 45% ont déclaré connaître au moins cinq violations de données, contre 29% dans le précédent rapport.
Plus de la moitié des organisations interrogées ont déclaré avoir eu au moins un incident de vol d'identité médicale. Seulement 18% ont déclaré être certains que le vol était le résultat d'une violation de données - 32% ont déclaré qu'ils n'étaient pas certains.
Plus de la moitié des organisations de santé ont déclaré avoir peu ou pas confiance dans leur capacité à détecter les violations. Seulement 40% ont déclaré pouvoir prévenir ou détecter rapidement toute perte ou tout vol de données sur les patients.
Les violations de données ont coûté 6,78 milliards de dollars chaque année aux organisations de santé américaines.
BOYD aide les experts en productivité, en temps et en mouvement à montrer. Les technologies actuelles qui promettent une productivité et une commodité accrues incluent les appareils mobiles, les applications de partage de fichiers et les services basés sur le cloud - tous très difficiles à sécuriser. Il existe un risque que quelqu'un dans l'entreprise prenne certaines des données ailleurs, y compris des informations confidentielles sur les patients, où elles pourraient se retrouver entre de mauvaises mains.
Les auteurs ont écrit:

"Une autre inquiétude présentée dans cette recherche est que les attaques sophistiquées et furtives des criminels augmentent régulièrement depuis 2010.
Le prix à payer pour faire face à ces violations peut être stupéfiant. Bien que le coût puisse aller de 10 000 dollars à plus d’un million de dollars, nous calculons que le coût moyen pour les organisations représentées dans cette étude de référence est de 2,4 millions de dollars sur deux ans. Ce chiffre est en légère hausse par rapport à 2,2 millions de dollars en 2011 et à 2,1 millions de dollars en 2010. "

La négligence des initiés est la cause principale des violations de données

Dans 46% des violations de données, l'appareil informatique de l'employé était soit perdu, soit volé, ce que les auteurs attribuent à la négligence.
Dans 42% des cas, la violation était due à des erreurs d'employés ou à des actions involontaires.
SNAFUS tiers est également une cause relativement courante de violation de données.
Le nombre d'attaques criminelles ciblées sur les bases de données des organisations de soins de santé a également augmenté.

Quelle est la sécurité de ces appareils?

Les auteurs ont expliqué que lorsqu'ils ont demandé aux organisations de soins de santé à quel point elles étaient convaincues que les dispositifs que leurs employés apportent au bureau et à la maison étaient sécurisés, la réponse la plus courante était qu'elles n'étaient pas du tout confiantes.
Parmi les organisations de soins de santé qui ont été couvertes dans ce rapport sont:

• Hôpitaux / cliniques faisant partie d'un réseau - 46%
• Systèmes de livraison intégrés - 36%
• Hôpitaux / cliniques autonomes - 18%

Les chercheurs ont mené 324 entrevues. Parmi les personnes interrogées, mentionnons celles qui travaillent dans les domaines de l’administration, de la sécurité, de la confidentialité, de la conformité, des questions cliniques et des finances.

Que doivent faire les hôpitaux pour lutter contre les violations de données?

Les auteurs disent qu'ils devraient:

• Effectuer une évaluation des risques pour la vie privée


• Identifier les lacunes organisationnelles


• Créez une politique qui inclut des directives détaillées sur tous les appareils mobiles pour tous les entrepreneurs et employés.


• Lorsqu'ils créent la politique, elle doit traiter les risques de sécurité et expliquer clairement les procédures à suivre.


• La politique sur les appareils mobiles de l'organisation de soins de santé devrait informer les employés sur la raison pour laquelle leurs appareils mobiles doivent être sécurisés et protégés, ainsi que sur les comportements à risque à éviter.

Les experts estiment que le nombre de violations de données est plusieurs fois plus élevé que ce qui est rapporté actuellement, simplement parce que la plupart des organisations de soins de santé n’ont pas les moyens de les détecter.
La faible priorité accordée par de nombreux dirigeants aux violations de données est plus préoccupante, a déclaré le Ponemon Institute. Par rapport aux autres secteurs de l’économie, tels que les banques, les soins de santé semblent relativement peu concernés.
Les dispositifs médicaux, tels que les pompes à insuline, les appareils d'imagerie mammographique et les pompes cardiaques sans fil, contiennent une foule de données sensibles sur les patients - la plupart d'entre eux sont connectés sans fil à des PC commerciaux et sont vulnérables aux cyberattaques. La plupart des organisations de soins de santé ne sécurisent pas leurs appareils médicaux. Les auteurs pensent que c'est parce que les organisations estiment qu'il incombe au fournisseur de dispositifs médicaux de protéger les produits, et non les leurs.
Ecrit par Christian Nordqvist