Come prevenire le violazioni della sicurezza nel settore sanitario
L'assistenza sanitaria è un obiettivo prioritario per attacchi informatici e altre violazioni della sicurezza e le violazioni della sicurezza sanitaria continuano a crescere. Secondo il Becker's Hospital Review, una grave violazione di dati ogni tre coinvolge un ospedale o un sistema sanitario. Queste violazioni non solo minacciano la privacy personale dei pazienti, ma comportano il rischio di ingenti sanzioni per la conformità, danni duraturi alla reputazione e alla fiducia e possono persino bloccare un ospedale o un sistema sanitario, interrompendo la capacità di fornire assistenza e mettendo a rischio la sicurezza del paziente. Combattere questa tendenza e prevenire le violazioni della sicurezza nel settore sanitario richiede una comprensione più ampia dei rischi e delle principali vulnerabilità e un programma completo di sicurezza dei dati e autenticazione dell'identità per mitigare questi rischi.
L'importanza della sicurezza dei dati in ambito sanitario
Le violazioni nell'assistenza sanitaria hanno raggiunto il massimo storico nel 2021, continuando una tendenza al rialzo che ha visto triplicare il numero di documenti sanitari violati negli Stati Uniti negli ultimi tre anni. Le cartelle cliniche sono un obiettivo popolare per un semplice motivo: Sul dark web, le cartelle cliniche valgono fino a 40 volte i dati delle carte di credito rubate. Questo perché i documenti sanitari in genere includono qualsiasi cosa, dai numeri di previdenza sociale alle informazioni sui beneficiari del piano sanitario e persino gli identificatori biometrici, oltre a includere spesso informazioni sul conto finanziario.
Ma la storia più grande è che le crescenti violazioni della sicurezza nel settore sanitario sono direttamente legate alla trasformazione digitale del settore sanitario. Oggi, l'erogazione dell'assistenza sanitaria dipende completamente dai dati. I dispositivi connessi raccolgono informazioni vitali e altre informazioni sulla salute del paziente che informano i sanitari. Le cartelle cliniche elettroniche (Electronic heath records, EHR) archiviano tali informazioni e guidano i flussi di lavoro delle cure dalle procedure di autorizzazione alla prescrizione di farmaci. Tutto, dai trattamenti più semplici a quelli più complessi e avanzati, viene ora erogato utilizzando tecnologie abilitate digitalmente. L'infrastruttura digitale è alla base delle strutture e degli spazi in cui viene fornita tale assistenza, mantenendo le luci accese, controllando complessi sistemi HVAC e controllando l'accesso fisico e la sicurezza. Ora, la rapida crescita dei livelli di telemedicina su ulteriori esigenze di sicurezza dei dati. I fornitori stanno integrando tecnologie di terze parti e piattaforme basate sul Web per rendere la telemedicina semplice e conveniente per i pazienti ed efficiente per i fornitori.
La sicurezza dei dati è fondamentale per proteggere l'intero ecosistema. Se ben strutturato, un programma completo per la sicurezza dei dati porta a tre risultati principali:
- Fiducia e lealtà dei pazienti
I pazienti in quanto consumatori di oggi possono cercare le cure "migliori" e sono sempre più sensibili alla privacy dei dati. Un efficace programma di sicurezza dei dati protegge dai danni alla reputazione - con conseguenti perdite di volume di pazienti - causati da una violazione dei dati. - Qualità dell'assistenza e sicurezza del paziente
Garantire l'accesso ininterrotto alle informazioni sulla salute del paziente e il funzionamento di tecnologie e sistemi critici è fondamentale per l'obiettivo fondamentale degli operatori sanitari: fornire cure di alta qualità e mitigare i rischi per la sicurezza dei pazienti. - Come evitare i costi associati alle violazioni
L'assistenza sanitaria è già all'avanguardia nelle normative sulla privacy dei dati e requisiti sempre più stringenti implicano che anche piccole violazioni potrebbero comportare sanzioni significative. Ma le multe sono solo la punta dell'iceberg quando si tratta dell'intero costo di una violazione della sicurezza. Ad esempio, un ospedale di medie dimensioni può aspettarsi che un tipico attacco informatico lo spenga per una media di 10 ore, al costo di 45.700 USD l'ora.
Quali sono i principali problemi di sicurezza dei dati in ambito sanitario?
Il problema principale è la digitalizzazione esponenziale di ogni aspetto dell'assistenza sanitaria, come accennato in precedenza. Senza dubbio, questa trasformazione digitale sta offrendo enormi vantaggi sia ai pazienti che ai fornitori e continuerà a sbloccare nuove potenti possibilità e nuovi potenziali nei prossimi anni. Ma presenta anche maggiori rischi per la sicurezza, semplicemente perché crea un ecosistema digitale molto più ampio e complesso, con molti più punti in cui un malintenzionato potrebbe ottenere l'accesso o i dati potrebbero fuoriuscire o essere esposti. Un rapporto della primavera 2022 ha identificato cinque fonti chiave di problemi di sicurezza dei dati nell'assistenza sanitaria:
- Dispositivi medici "intelligenti" connessi all'IoT: Il numero di dispositivi connessi negli ospedali e nelle cliniche continua a crescere in modo esponenziale. Numero verde Health and Human Services (HHS) segnala che oltre la metà dei dispositivi medici connessi più comunemente utilizzati sono vulnerabili agli attacchi informatici.
- Utilizzo crescente della telemedicina: Il passaggio alla telemedicina e all'assistenza sanitaria mobile, indotto dalla pandemia, sta dimostrando che rimarrà per sempre. L'accesso dei pazienti all'assistenza sanitaria al di fuori del tradizionale "perimetro" della sicurezza dei dati comporta una serie di rischi e sfide per la sicurezza.
- The Cures Act: Il Cures Act del 2016 mira a ridurre gli ostacoli all'interoperabilità di sistemi e dispositivi nell'assistenza sanitaria. Ciò supporta e accelera direttamente l'innovazione tecnologica, ma presenta anche punti aggiuntivi in cui i dati possono trapelare o essere rubati durante il transito.
- Dipartimenti IT con risorse insufficienti: La carenza di personale e le carenze di budget stanno colpendo tutti i reparti dell'ospedale e questo può determinare il fallimento delle patch di sicurezza e il mancato aggiornamento e rafforzamento degli stack tecnologici affinché rimangano al passo con richiesta e rischi moderni. Inoltre, l'HHS riferisce che, dal punto di vista della tecnologia e del personale, il tipico ospedale è semplicemente "superato" dai cyberattaccanti.
- Mancanza di formazione sulla sicurezza dei dipendenti: Il fattore umano è ancora il più grande rischio per la sicurezza, sia che si tratti di fare clic su un collegamento di phishing, di perdere o condividere le credenziali o di consentire ai visitatori non registrati di entrare nella struttura.
In effetti, si stima che 3 violazioni della sicurezza sanitaria su 4 derivino da uno di questi cinque problemi principali.
5 strategie per prevenire le violazioni in ambito sanitario
Inizia concentrandoti sulla protezione dei dati dei pazienti
La strategia più fondamentale per la sicurezza dei dati è concentrarsi sulla protezione dei dati dei pazienti che alimenta la moderna erogazione dell'assistenza sanitaria, mettendo in atto le tecnologie e i processi giusti e costruendo una cultura della sicurezza dei dati. Per garantire la disponibilità e l'integrità dei dati dei pazienti, gli ospedali e i sistemi sanitari dovrebbero adottare diverse misure:
- Crittografa e tokenizza tutti i dati dei pazienti, in transito e inattivi, per proteggerli da accessi non autorizzati
- Consenti la firma digitale delle cartelle dei pazienti per mantenere una catena di controllo sicura sui dati dei pazienti e contribuire a mitigare i rischi di frode e contraffazione
- Quando si condividono o si spostano i dati dei pazienti, tutte le informazioni di identificazione personale (PII) devono essere tokenizzate per proteggere ulteriormente la privacy del paziente
Seleziona tutte le caselle di conformità
Oltre all'importanza clinica della sicurezza dei dati dei pazienti, gli ospedali e i sistemi sanitari devono raggiungere e mantenere la conformità a una serie di requisiti normativi sempre più stringenti, dall'HIPAA e dall'Health Information Technology for Economic and Clinical Health Act (HITECH) Act, a Regolamento generale sulla protezione dei dati (GDPR), California Consumer Privacy Act (CCPA), Regolamento europeo per l'identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (eIDAS) e altro ancora.
Per la maggior parte delle organizzazioni sanitarie, l'obiettivo principale è agevolare la conformità con l'HIPAA. Ecco quattro aree di attenzione alla sicurezza dei dati per la conformità all'HIPAA:
- Autenticazione forte: HIPAA attribuisce un'elevata priorità alla limitazione, al controllo e al monitoraggio dell'accesso fisico e digitale a spazi, risorse e dati. Offri agli utenti autorizzati un'autenticazione basata sulle credenziali ad alta sicurezza che consente loro di autenticare in modo rapido e semplice identità e privilegi di accesso.
- Certificati digitali: I certificati digitali completano l'autenticazione forte nella conferma dell'identità di un dispositivo, server o utente. Un solido programma di certificati digitali è sempre più fondamentale per abilitare l'ecosistema completamente integrato e senza attriti dei dispositivi IoT connessi all'interno di un ospedale o di una struttura sanitaria.
- Protezione dei dati: L'HIPAA stabilisce che le informazioni sanitarie protette (PHI) dovrebbero essere crittografate a meno che non venga fornita una giustificazione "ragionevole e appropriata". Inoltre, un'efficace crittografia dei dati, sia in transito che inattivi, può aiutare le organizzazioni a evitare sanzioni significative in caso di violazione.
Rafforza la sicurezza dei dati attorno all'architettura digitale critica
Gli standard e le migliori pratiche di sicurezza dei dati che sono stati utilizzati per proteggere le workstation desktop e le tecnologie legacy locali semplicemente non riescono a tenere il passo nell'era delle app basate su cloud, della connettività abilitata per dispositivi mobili e degli stack tecnologici senza perimetro. Gli ospedali e i sistemi sanitari devono creare uno stack di sicurezza a prova di futuro in grado di consentire l'accesso istantaneo e agevole necessario, contrastando contemporaneamente i crescenti rischi di attacchi informatici, frodi e violazioni. Ecco tre aree su cui concentrarsi:
- Adottare misure per proteggere i sistemi EHR: Certificati digitali per dispositivi IoT; accesso senza password; autenticazione basata sulle credenziali ad alta sicurezza; e moduli di sicurezza hardware (HSM) convalidati FIPS (Federal Information Processing Standards) possono aiutare la tua organizzazione a proteggere l'integrità digitale del tuo sistema EHR e prevenire violazioni della sicurezza nel settore sanitario.
- Dispositivi IoT sicuri: La crittografia di livello aziendale e le firme digitali, insieme a una root of trust che protegge le chiavi crittografiche alla base, dovrebbero sempre essere utilizzate come best practice per garantire un ambiente sicuro.
- Proteggi hardware e firmware: Un'infrastruttura digitale ad alta sicurezza deve utilizzare chiavi, certificati e crittografia end-to-end anche per garantire l'autenticità e l'integrità del firmware che alimenta i dispositivi IoT smart e connessi.
Usa la tecnologia di sicurezza dei dati intelligente per abilitare una forza lavoro moderna e produttiva
La "nuova normalità" ha ridisegnato il modo in cui lavora il personale sanitario. I fornitori interagiscono virtualmente con i pazienti tramite telemedicina e servizi sanitari mobili. Il personale clinico e amministrativo adotta modelli di lavoro a distanza e ibridi. Abilitare questi nuovi modi di lavorare è essenziale per espandere e migliorare il modo in cui viene fornita l'assistenza. Inoltre, è fondamentale per proteggere i risultati economici, nonché per attrarre e trattenere il personale di fronte alle incessanti pressioni del lavoro.
- Integra le tecnologie di nuova generazione: Il ritmo dell'innovazione nel mondo della produttività e della tecnologia di collaborazione continua ad accelerare. Questi sono gli strumenti e le tecnologie che consentono ai medici e al personale di lavorare in modi nuovi, più intelligenti e migliori. La capacità di un ospedale o di un sistema sanitario di integrare rapidamente nuove tecnologie dipende dalla disponibilità di uno stack tecnologico di sicurezza agile e pronto per il futuro, in grado di applicare le necessarie misure di autenticazione, crittografia e sicurezza dei dati attorno a nuove app, nuove integrazioni e nuovi flussi di lavoro.
- Abilita l'accesso agevole: Il valore delle nuove tecnologie innovative è limitato dalla capacità di accedervi rapidamente e di passare da una all'altra per fornire assistenza ed eseguire flussi di lavoro chiave. Raggiungere il pieno potenziale della trasformazione digitale - dai vantaggi in termini di produttività al miglioramento della qualità dell'assistenza fino a una migliore soddisfazione dei pazienti e del personale - dipende dall'abilitazione agevole di questo tipo di accesso.
- Supporta la flessibilità della forza lavoro con la sicurezza fisica: Uno degli impatti più trascurati di un modello di lavoro ibrido è che spesso richiede modifiche ai programmi di sicurezza fisica e controllo degli accessi. Dal consentire al personale autorizzato di accedere alle strutture al di fuori dei turni standard, all'agevolare il check-in contactless per pazienti e visitatori, a onboarding e offboarding di personale e volontari, gli ospedali e i sistemi sanitari devono rivalutare le lacune e i problemi del loro programma di sicurezza fisica che potrebbero rappresentare un rischio per la privacy e la sicurezza dei dati dei pazienti.
Facilita e proteggi la fornitura di assistenza sanitaria a distanza e le transazioni digitali
La richiesta di telemedicina, assistenza mobile e altre opzioni di erogazione di assistenza virtuale e remota da parte dei pazienti è qui per restare. Anche le organizzazioni sanitarie hanno riconosciuto i numerosi vantaggi di queste nuove modalità di erogazione delle cure. Ma offrire le esperienze convenienti, personalizzate e private che i pazienti si aspettano - e realizzare il potenziale per espandere l'accesso alle popolazioni svantaggiate promuovendo al contempo l'efficienza - comporta una serie completamente nuova di sfide per la sicurezza dei dati.
- Onboarding e autenticazione di pazienti remoti: La sfida più semplice per la sicurezza dei dati con l'assistenza sanitaria a distanza è semplicemente l'autenticazione dell'identità di un paziente che non è fisicamente presente. Le organizzazioni sanitarie devono mettere in atto tecnologie per consentire la verifica dell'identità del paziente sicura e self-service. Inoltre, devono creare nuovi flussi di lavoro per l'inserimento di nuovi pazienti in uno scenario di assistenza completamente virtuale.
- Protezione delle PHI nell'erogazione dell'assistenza basata su cloud: La connessione con i pazienti e l'erogazione dell'assistenza tramite app basate su Web e cloud significa che un'incredibile quantità di PHI sta ora andando avanti e indietro ben al di fuori della sicurezza e della protezione del perimetro di rete tradizionale. Una strategia completa di protezione dei dati deve includere una crittografia end-to-end avanzata, certificati affidabili e un'infrastruttura a chiave pubblica (PKI) al fine di facilitare lo scambio senza interruzioni dei dati dei pazienti, proteggendoli al contempo da perdite o furti.
- Dispositivi indossabili e sicurezza dei dispositivi oltre il perimetro: Oltre alle visite di assistenza primaria di base, il principale fattore trainante dell'erogazione dell'assistenza sanitaria a distanza è il progresso dei dispositivi medici connessi che consentono ai fornitori di monitorare e reagire alle informazioni sulla salute dei pazienti in tempo reale. Ciò spazia da dispositivi sanitari "intelligenti" come CPAP, macchine per dialisi e pacemaker alla crescita in forte espansione di dispositivi indossabili come smartwatch e monitor continui della glicemia. Le organizzazioni sanitarie devono non solo proteggere il trasferimento di PHI da questi dispositivi connessi ai loro sistemi interni, ma anche mettere in atto solide tecnologie di sicurezza dei dati per proteggere l'hardware e il firmware degli stessi dispositivi connessi.
- Protezione di transazioni e pagamenti digitalizzati: Le sofisticate tecnologie di firma digitale svolgono un ruolo fondamentale sia nel front-end che nel back-end dell'erogazione dell'assistenza a distanza. Le organizzazioni sanitarie hanno bisogno di un modo sicuro e senza interruzioni per autenticare in modo rapido e sicuro gli ordini dei fornitori come richieste di laboratorio e prescrizioni. Sul back-end, devono garantire l'autenticità delle richieste di risarcimento assicurative, nonché fornire l'infrastruttura tecnologica per consentire ai pazienti di effettuare pagamenti sicuri.