Partage de fichiers conforme HIPAA

Le secteur de la santé est une cible privilégiée pour les cybercriminels en raison des informations recueillies, notamment les numéros de sécurité sociale, les antécédents médicaux, les informations d'assurance, l'adresse e-mail, etc. Les normes de conformité HIPAA et HITECH garantissent la confidentialité des informations personnelles identifiables (PII).Partage de fichiers Conformité HIPAA

Les cibles précieuses comprennent les assureurs maladie, les prestataires de soins de santé, diverses entités qui sont des prestataires de services et des assurés, car sur le marché noir, les prix sont plus élevés pour les dossiers médicaux que pour les seuls numéros de carte de crédit. Les cyberattaques du secteur de la santé entraînent le vol d'identité à partir de partages de fichiers où davantage de données peuvent être volées, vos informations d'assurance peuvent être prises en otage et les attaques par force brute majeures et les attaques de phishing sont faciles à réaliser car avec plus d'informations, les attaques peuvent sembler plus légitimes et plus faciles à exécuter.

De même, lorsqu'il s'agit de correspondance de données médicales, il est facile d'amener des personnes peu méfiantes à ouvrir la correspondance ou à répondre à une sollicitation malveillante sans le savoir.

Le secteur de la santé est plus que jamais axé sur la transformation numérique totale. La cybersécurité et la prévention du vol de données des PII stockées dans les systèmes de partage de fichiers doivent être au premier plan des priorités commerciales d'une entreprise opérationnelle et elles doivent planifier en conséquence comme toute grande entreprise et ne pas prendre d'initiatives comme un petit fournisseur de services.

Pour la plupart des entreprises qui fournissent des prestations médicales aux employés, la plupart des interactions se font avec le courtier et le fournisseur d'assurance ou l'agrégateur, y compris les principaux HMO qui ont leurs propres applications pour le partage de fichiers d'informations sur la santé qui peuvent être facilement compromises.

La prévention du vol de données pour se conformer à HIPAA et HITECH doit commencer par décider quels fichiers seront conservés et migrés vers des serveurs de fichiers critiques. Comme pour toute entreprise de transformation numérique, la première étape consiste à décider quels fichiers conserver, comment catégoriser ces informations et enfin les hiérarchiser.

Considérez ce scénario de patient typique : à moins que vous ne puissiez rendre visite à votre médecin de famille qui vous a traité depuis que vous étiez enfant, vous savez que vous êtes aussi pertinent que les dernières informations médicales téléchargées et entrées dans votre « dossier » et même dans ce cas, il y a toujours des corrections nécessaires. Votre dernière visite chez le médecin a peut-être inclus l'enregistrement dans le service et le bâtiment appropriés en glissant votre carte médicale, ce qui a ensuite amené une pléthore d'informations à l'administrateur qui gère la réception. Tout solde encore dû au prestataire et tout co-paiement ont été rapidement pris en charge avant d'attendre de voir le médecin. À ce stade, vous insérez ou glissez une carte de crédit ou de débit dans un terminal de paiement et entrez un code PIN si nécessaire et approuvez la transaction. Vous êtes ensuite transféré dans la salle d'examen appropriée, puis attendez à nouveau qu'une autre personne entre, confirmez vos informations sur un ordinateur portable mural, puis procédez à la prise de vos signes vitaux et à leur saisie dans le tableau numérique ouvert devant eux. Tous les médicaments sont confirmés et commandés à nouveau si nécessaire pour être remplis à la pharmacie de votre choix, puis vous attendez à nouveau que le véritable médecin suive l'examen pour lequel vous avez pris rendez-vous.

Votre dossier, vos antécédents médicaux et vos informations personnelles sont à nouveau confirmés et plus d'informations sont saisies à votre sujet, y compris une adresse e-mail avec laquelle vous pouvez être mis en correspondance et contacté. Si vous avez un fournisseur médical HMO comme Kaiser, vous vous rendez à la pharmacie dans le même bâtiment et glissez à nouveau toutes vos informations personnelles.

De plus, vous avez établi plusieurs points de contact et leur avez tout donné sauf une pinte de sang ou votre premier-né. Mais attendez! Et si vous aviez un enfant dans cet hôpital ? Ils ont les informations de votre premier enfant et probablement votre groupe sanguin, puis les résultats de laboratoire sur l'un de vos prélèvements sanguins. Peut-être avez-vous également commandé un certain test génétique pour la prévention du cancer. À ce stade, littéralement toute votre vie, vos chromosomes, votre sang, vos ordonnances, tout ce qui vous compose est stocké dans un ordinateur ou des ordinateurs et votre seule protection ou garantie que tout cela restera privé est la qualité de cette entreprise de soins de santé particulière. a mis une sorte de pare-feu entre vos informations critiques et tout cybercriminel avec un clavier qui gagne sa vie sur le marché noir des ransomwares, des attaques par force brute, du phishing et de l'exploitation de toutes les faiblesses possibles. Une frénésie de dépenses de numéro de carte de crédit volée n'a rien sur un fournisseur de soins de santé victime d'une cyberattaque de partage de fichiers calculée ciblant des informations personnellement identifiables (PII).

En plus de décider quelles données doivent être migrées et préservées, la question devient alors celle de la surveillance, du contrôle et de la vigilance constante. La prévention du vol de données et la planification de la reprise après sinistre deviennent un travail à plein temps, qu'il s'agisse d'employer du personnel et/ou d'engager des ressources et des fournisseurs pour être prêts à trouver des solutions pour atténuer toute menace imminente connue ou imprévue. Les professionnels de la santé, les assureurs, les médecins, les infirmières et le personnel médical sont formés pour être l'incarnation de la confiance, mais qu'advient-il d'une institution ou d'une marque de soins de santé frappée par une attaque majeure comme ce qui est arrivé à des sociétés de notation de crédit comme Experian ? Ils perdront des clients. Aux États-Unis, les patients sont des clients et les clients ont le choix des fournisseurs.

Pour des échanges de soins de santé abordables, un simple piratage du site Web d'inscription plongerait certains gouvernements d'État dans un état de chaos complet et un système déjà surchargé n'est pas trop gros pour échouer et si l'inscription diminue, les coûts montent en flèche. Les salles d'urgence deviennent la principale source de soins médicaux et même alors, il n'y a aucune garantie de soins adéquats. En d'autres termes, l'industrie de la santé dans ce pays est mûre pour une attaque majeure et ce n'est pas une question de si, c'est une question de quand.

Alors que faire? Tout d'abord, ne paniquez pas, puis vous devez engager des partenaires de confiance pour vous aider à naviguer dans le bourbier de la prévention des pertes de données, du vol de données et de la protection des données. Il existe déjà des lois régissant la confidentialité médicale, y compris la célèbre HIPAA qui est la norme de référence pour tout ce qui concerne la confidentialité des patients. HIPAA signifie Health Insurance Portability and Accountability Act de 1996. Également connu sous le nom de HIPAA Act en abrégé. Il s'agit d'une loi américaine sur la confidentialité mise en place pour protéger les informations médicales, y compris les dossiers des patients, et permettre une communication confidentielle entre les patients et les professionnels de la santé. La loi HIPAA comporte de nombreux éléments, notamment la portabilité de la couverture médicale en cas de changement de statut professionnel, la prévention de la fraude et des abus et le mandat d'un ensemble de normes universelles sur lesquelles le ministère de la Santé et des Services sociaux a compétence. Le principal élément le plus connu dans le domaine de la sécurité des données et des règles et réglementations en matière d'emploi dans les entreprises est le droit aux informations et aux antécédents médicaux des patients, quoi qu'il arrive.

Être conforme à la loi HIPAA est naturellement l'objectif numéro un et cette conformité est réglementée, elle doit donc être contrôlée et surveillée en permanence et des freins et contrepoids doivent être mis en place et régulièrement utilisés. Il n'y a rien de tel qu'être la plupart Conforme HIPAA ou HITECH. Dans la foulée de la réglementation, d'autres fournisseurs de services se sont intensifiés pour combler le vide de la sécurité des données où le besoin de la plupart des établissements de santé est de traiter les patients - et non de protéger la confidentialité des données et le partage de fichiers. Le secteur de la santé est déjà en proie à des obstacles critiques et explose maintenant alors que tout le monde essaie de rationaliser et de devenir totalement numérique et de partager facilement des informations sur plusieurs plates-formes ou ces multiples plates-formes fusionnées en un seul fournisseur de stockage. Les start-ups liées à la santé apparaissent partout et sont omniprésentes et abondantes partout où les investisseurs en capital-risque et les parties intéressées se rassemblent en raison du besoin urgent de perturbations majeures dans le géant de l'industrie. Les applications et les comptes en ligne remplacent les conseils infirmiers et les rappels de rendez-vous par carte postale. Plusieurs start-ups d'applications dans le secteur de la santé cherchent à être le tissu tissé ou l'agrégateur de données qui rejoint l'écosystème des antécédents médicaux et des soins continus d'un patient à travers plusieurs fournisseurs et plates-formes.

Mais qui stocke ces fichiers d'entreprise et empêche ces données de tomber entre de mauvaises mains ? Plusieurs fournisseurs de stockage cloud ont fait connaître leurs services en ciblant cette industrie avec des campagnes publicitaires très coûteuses. Le stockage en nuage et les serveurs de partage de fichiers basés sur le cloud sont plus populaires que jamais, mais ce n'est pas parce que la technologie a été rationalisée, organisée et centralisée que cela signifie que plusieurs industries doivent emboîter le pas et céder leurs actifs numériques critiques à une propriété et un stockage extérieurs simplement parce que c'est plus facile maintenant ?

Prenez du recul et imaginez le cabinet du médecin d'une époque pas si ancienne. Des rangées et des rangées et des rangées de dossiers de manille remplis de papier et de résultats de tests et de notes méticuleuses empilées du sol au plafond et classées par année et classées par ordre alphabétique des noms de famille des patients. Imaginez si un camion s'arrêtait et prenait tous ces fichiers, puis parcourait des milliers de kilomètres et les chargeait tous dans un entrepôt, puis vous disait de ne pas vous inquiéter, qu'ils ont des serrures industrielles sur les portes et un environnement climatisé et qu'il y a sont des gardes en service 24h/24 et 7j/7. La seule façon d'accéder aux fichiers est d'ouvrir un écran d'ordinateur et de taper des mots ou des chiffres dans un champ de recherche et d'espérer que le bon résultat de recherche fournira les meilleures informations. Imaginez maintenant que le courant soit coupé, que l'entrepôt ait un incendie catastrophique, ou que des voleurs armés entrent par effraction et s'enfuient avec tous les dossiers de Manille et les vendent au plus offrant qui ne peut jamais être retrouvé, alors quoi ?

Les fournisseurs de services de santé, les assureurs et les établissements médicaux ont pour mission de fournir les meilleurs soins possibles aux clients qui se qualifient en fonction des coûts et des services fournis. Leur travail consiste à soigner les gens, à prévenir les maladies, à guérir les malades et à mener des recherches pour combattre les derniers virus du monde réel. Ils ne sont pas chargés de maintenir, de transférer et de partager constamment des fichiers à travers le pays de la manière la plus sécurisée possible et d'avoir à se soucier des virus informatiques - jusqu'à présent. Il n'y a aucune excuse pour un PPO, HMO, EPO, POS ou un spécialiste de cabinet privé moderne de ne pas avoir mis en place un système de prévention du vol et de reprise après sinistre conforme aux normes HIPAA et HITECH. Cela inclut les gouvernements des États et fédéraux qui surveillent et administrent les échanges en vertu de la loi sur les soins abordables.

Les grandes entreprises, y compris les HMO et les entités gouvernementales qui administrent les échanges de soins de santé, ont désespérément besoin de consolider les systèmes et de disposer d'un outil de sécurité des données qui permet aux utilisateurs sur site d'accéder et de partager des données à distance selon les besoins avec un accès sécurisé garanti et des précautions de confidentialité obligatoires HIPAA et HITECH en place . Si une catastrophe survient et qu'un fournisseur de stockage en nuage est piraté ou que des données sont violées d'une manière ou d'une autre, ces utilisateurs doivent être redirigés vers un serveur sur site et/ou un serveur de secours qui a sauvegardé et stocké les données. Avec un outil sécurisé crypté, les utilisateurs peuvent accéder instantanément à ces données à l'aide d'une connexion Web sécurisée, d'un lecteur mappé à un répertoire actif local ou d'une application mobile et être instantanément en activité et avoir les informations sur les patients à portée de main tout en maintenant la sécurité. MyWorkDrive.com fournit cette couche supplémentaire de protection, de confidentialité et de récupération. Une armée de personnel informatique n'a pas besoin d'être employée en permanence et déployée à chaque instance ou problème de temps d'arrêt ou de perte de données. MyWorkDrive a récemment été certifié en tant que partenaire DUO Authentication, Skyhigh Cloud Trust Enterprise Cloud Ready et les normes de cryptage FIPS du gouvernement fédéral américain et offre désormais une vue cryptée et un filigrane de tous les fichiers empêchant les utilisateurs de télécharger, copier ou imprimer des fichiers en tant que couche supplémentaire de prévention du vol de données Aucun fichier n'est jamais stocké, migré ou traités par MyWorkDrive – Tous les fichiers restent stockés sur les propres partages de fichiers sécurisés des clients.

Il existe de nombreux choix pour le stockage dans le cloud et le partage de fichiers, y compris d'énormes fournisseurs comme AWS et Google Drive et des acteurs plus petits, notamment Egnyte et Sharecloud. Aucun de ces fournisseurs ne peut garantir une conformité totale absolue et, de par leur nature même, ils sont basés sur le cloud et dépendent du stockage cloud partagé et de la gestion des utilisateurs mobiles pour sécuriser les fichiers. Si vous êtes dans le secteur des fournisseurs de soins de santé ou dans une institution gouvernementale mandatant et surveillant le secteur des soins de santé, vous avez besoin d'un outil de sécurité des données qui fera ce que personne d'autre n'est capable de faire, y compris OneDrive, Dropbox et le cloud Azure. Vous avez besoin d'un contrôle total sur le stockage, l'accès, la propriété, la confidentialité, la gestion et la récupération des données. MyWorkDrive permet une flexibilité, un coût de possession réduit, de l'agilité, une plus grande productivité et une confidentialité garantie afin que vous puissiez vous concentrer sur la compétence de base de votre cabinet. Il n'est pas nécessaire de faire des compromis et d'opter pour une solution de stockage de fichiers basée sur le cloud avec MyWorkDrive. Si vous optez pour une solution basée sur le cloud, vous devez examiner attentivement le meilleur plan d'action pour la reprise après sinistre, la sécurité des fichiers, la propriété et le contrôle. Encore une fois, ce n'est pas une question de savoir si des informations PII sont divulguées, c'est une question de quand. Dans le domaine de la santé, la prévention est le mantra comme il se doit. Les informations médicales et la confidentialité des données de vos patients ne devraient pas faire exception.

Daniel, fondateur de MyWorkDrive.com, a occupé divers postes de gestion de la technologie au service des entreprises, du gouvernement et de l'éducation dans la région de la baie de San Francisco depuis 1992. Daniel est certifié en technologies Microsoft et écrit sur les technologies de l'information, la sécurité et la stratégie et a été récompensé aux États-Unis Brevet #9985930 en réseau d'accès à distance