Protejarea datelor digitale din domeniul sănătății împotriva atacurilor cibernetice

În 2023, Biroul pentru Drepturi Civile (OCR) al Departamentului pentru Sănătate și Servicii Umane (HHS) a raportat 541 de cazuri de încălcări ale securității datelor cu impact asupra a peste 500 de persoane. Unele dintre aceste incidente au afectat milioane sau chiar zeci de milioane de persoane, cum ar fi breșa larg mediatizată de la HCA Healthcare în timpul verii. 

De Ziua Recunoștinței a aceluiași an, Ardent Health Services a suferit un atac ransomware, ceea ce a determinat sistemul de 30 de spitale să închidă în mod proactiv și să suspende accesul tuturor utilizatorilor la aplicațiile sale IT . Acest lucru a dus la întârzieri în procedurile care nu sunt de urgență. 

Până în februarie 2024, Jurnalul HIPAA a înregistrat 24 de încălcări ale securității datelor care au implicat 10.000 de dosare medicale. 

La orizont se întrevăd noi cerințe ale industriei în ceea ce privește securitatea datelor din domeniul sănătății, pe măsură ce legiuitorii încearcă să tragă la răspundere organizațiile pentru protecția datelor. 

Regula de confidențialitate HIPAA, 45 CFR Partea 160 și subpărțile A și E din Partea 164, delimitează utilizările și dezvăluirile permise și obligatorii ale informațiilor medicale protejate (PHI). PHI pot exista sub orice formă, inclusiv pe hârtie, pe film și în format electronic, și sunt considerate informații medicale identificabile individual. 

Regula de securitate HIPAA, 45 CFR Partea 160 și Partea 164, Subpărțile A și C, subliniază cerințele pentru informațiile medicale protejate în format electronic (ePHI). Entitățile acoperite și asociații lor comerciali au obligația de a menține confidențialitatea, integritatea și disponibilitatea ePHI. 

Regula HIPAA privind notificarea privind încălcarea securității, 45 CFR §§ 164.400-414, impune entităților acoperite de HIPAA și asociaților lor comerciali să furnizeze o notificare în urma unei încălcări a informațiilor medicale protejate nesecurizate. 

NIST Special Publication 800 NIST SP 800-66r2, publicată în februarie 2024, oferă îndrumări pentru entitățile reglementate (adică entitățile acoperite de HIPAA și asociații comerciali) cu privire la evaluarea și gestionarea riscurilor pentru ePHI, identifică activitățile tipice pe care o entitate reglementată ar putea lua în considerare punerea în aplicare ca parte a unui program de securitate a informațiilor și prezintă îndrumări pe care entitățile reglementate le pot utiliza în întregime sau parțial pentru a contribui la îmbunătățirea poziției lor de securitate cibernetică și pentru a ajuta la obținerea conformității cu regula de securitate HIPAA. 

În decembrie 2023, Departamentul de Sănătate și Servicii Umane (HHS) a publicat un document conceptual care prezintă strategia sa de securitate cibernetică pentru sectorul sănătății. Această strategie pune accentul pe intensificarea eforturilor de aplicare a legii și pe stabilirea unor standarde ridicate de practică industrială. Ulterior, în ianuarie 2024, HHS a dezvăluit obiectivele sale de performanță în materie de securitate cibernetică (CPG) specifice sectorului sănătății și sănătății publice. Aceste obiective sunt împărțite în categorii "esențiale" și "îmbunătățite", urmărind să abordeze vulnerabilitățile prevalente în materie de securitate cibernetică în cadrul sectorului asistenței medicale. 

Programul HHS 405(d) oferă îndrumări practice pentru organizațiile din domeniul sănătății care abordează complexitatea implementării unor măsuri solide de securitate a datelor. Această inițiativă subliniază integrarea strategică a sistemelor de prevenire a pierderilor de date (DLP) ca o componentă esențială a unui cadru cuprinzător de securitate a datelor. Adaptarea soluțiilor DLP pentru a se alinia la nevoile distincte ale fluxurilor de lucru din domeniul asistenței medicale are potențialul de a reduce în mod semnificativ numărul de falsuri pozitive și de a spori eficiența generală a inițiativelor de protecție a datelor.  

Legile federale, cum ar fi Gramm-Leach-Bliley Act (GLBA), Family Educational Rights and Privacy Act (FERPA) și Fair Credit Reporting Act (FCRA), protejează confidențialitatea datelor personale. În plus față de aceste reglementări federale, continuă să apară noi legi statale, care consolidează și mai mult măsurile de confidențialitate și protecție a datelor: 

Având în vedere că datele și siguranța pacienților sunt de o importanță capitală, cum se pot asigura furnizorii de servicii medicale că instrumentele lor de securitate existente sunt eficiente împotriva amenințărilor în continuă evoluție? 

S-a înregistrat o creștere vizibilă a atacurilor care vizează furnizorii de servicii medicale mai mici și regionale, ceea ce subliniază necesitatea unor măsuri puternice de securitate cibernetică. Aceste organizații stochează de obicei date extrem de sensibile, ceea ce le transformă în ținte principale pentru hackeri. Punerea în aplicare a unor abordări de securitate "multistratificate", care să încorporeze prevenirea pierderilor de date și detectarea proactivă a amenințărilor, este crucială pentru minimizarea daunelor potențiale. 

DLP implică strategii menite să prevină divulgarea inadvertită sau neautorizată a datelor sensibile, cum ar fi dosarele pacienților sau PHI. Acest lucru este deosebit de important în domeniul asistenței medicale, unde compromiterea informațiilor medicale confidențiale poate avea un impact profund asupra pacienților, putând duce la furtul de identitate sau la compromiterea tratamentului medical. Stabilirea unei strategii DLP solide este imperativă pentru ca organizațiile să atenueze încălcările de date și să mențină securitatea și confidențialitatea datelor din domeniul sănătății. 

OPSWAT Proactive DLP detectează și blochează datele sensibile, neconforme politicilor și confidențiale din fișiere și e-mailuri. Echipat pentru a reduce potențialele încălcări ale securității datelor, Proactive DLP utilizează o gamă cuprinzătoare de măsuri de securitate, inclusiv detectarea programelor malware transmise prin fișiere, utilizarea clasificării documentelor bazate pe inteligență artificială și utilizarea recunoașterii optice a caracterelor (OCR) pentru eliminarea informațiilor sensibile. Aceasta susține conformitatea cu HIPAA prin capacități robuste de prevenire a pierderilor de date, de control al accesului și de reducere a riscurilor.  

OPSWAT MetaDefender Platforma oferă o prevenire completă a amenințărilor, adaptată pentru ca organizațiile din domeniul sănătății să gestioneze datele medicale în siguranță și în mod rentabil. MetaDefender Platforma simplifică procesele de operare de securitate, se adaptează cu ușurință și oferă tehnologii de top pe piață pentru o strategie de apărare în profunzime, cum ar fi: 

• Deep CDR dezarmează fișierele cu potențial malițios și regenerează conținutul sigur pentru utilizare.
• Multiscanning detectează programe malware cunoscute și necunoscute cu peste 30 de motoare AV.
• Adaptive Sandbox detectează programele malware cu ajutorul analizei dinamice și statice.
• Țara de origine restricționează accesul la date în funcție de locație și furnizor.