Une mise à jour de la règle de sécurité de la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) est en cours avec de nouvelles exigences en matière de cybersécurité. En outre, le ministère de la Santé et des Services sociaux (HHS) publie nouvelles orientations pour les prestataires de soins de santé pour les aider à mieux se préparer à réagir au mieux aux cybermenaces.
Cette mise à jour est destinée à aider le secteur de la santé à construire un système plus résilient. Le département de cybersécurité du secteur de la santé du HHS a publié un document conceptuel qui fournit des objectifs de performance en cybersécurité (CPG) volontaires spécifiques aux soins de santé pour aider les organisations à prioriser la mise en œuvre de pratiques de cybersécurité à fort impact. Ces pratiques sont conçues pour améliorer la cyber-résilience et, à terme, protéger les informations de santé et la sécurité des patients. « Les pirates informatiques deviennent plus avisés », a déclaré Dotty Bollinger, JD, consultante en conformité des soins de santé, Compliancy Group, Greenlawn, New York. « Je crois que les cyberattaques sont une menace plus grande que jamais, et malheureusement, il existe encore une croyance répandue selon laquelle « cela ne nous arrivera pas ». »
Le Le secteur de la santé est particulièrement vulnérable aux risques de cybersécuritéet les enjeux en matière de soins et de sécurité des patients sont élevés. Les établissements de santé sont des cibles attrayantes pour les cybercriminels en raison de leur dépendance technologique et de la sensibilité de leurs données. Le HHS suit les violations de données de grande ampleur par l'intermédiaire de son Bureau des droits civils (OCR). Les dernières données montrent une augmentation de 93 % des violations de grande ampleur (de 369 à 712) signalées entre 2018 et 2022. Au cours de cette même période, on a constaté une augmentation de 278 % des violations de grande ampleur impliquant des ransomwares signalées à l'OCR.
« J'ai vu de nombreux cabinets et prestataires de soins de santé bien intentionnés mettre en place des programmes de conformité robustes, mais lésiner sur les protections informatiques parce que le cabinet manque d'expertise ou d'argent pour prendre des mesures audacieuses en matière de cyberprotection », a déclaré Bollinger.
Les récents incidents informatiques touchant les hôpitaux et les systèmes de santé ont entraîné des perturbations généralisées des soins, les patients étant redirigés vers d'autres établissements. Ces attaques ont des répercussions sur les services d'urgence locaux, les unités de radiologie et les centres de cancérologie.
Actuellement, les organisations de soins de santé ont accès à de nombreuses normes et directives en matière de cybersécurité. Le HHS, avec la participation de l'industrie, établit des objectifs de performance volontaires en matière de cybersécurité propres au secteur. Ces objectifs fournissent une orientation claire à l'industrie et contribuent à éclairer les éventuelles mesures réglementaires futures. Objectifs de performance en matière de cybersécurité spécifiques au secteur de la santé et de la santé publique (HPH CPG) sont conçus pour aider les établissements de santé à mieux prioriser la mise en œuvre de pratiques de cybersécurité à fort impact.
Le HHS envisage la mise en place de deux programmes. L’un comprendrait un investissement initial pour aider les prestataires de soins de santé qui en ont le plus besoin, comme les hôpitaux à faibles ressources. Des fonds seraient alloués pour couvrir les coûts initiaux associés à la mise en œuvre des CPG HPH « essentiels ». Un deuxième programme fournirait des incitations pour encourager tous les hôpitaux à investir dans des pratiques avancées de cybersécurité.
Compte tenu du profil de risque accru des hôpitaux, le HHS souhaite que tous les hôpitaux respectent les directives cliniques spécifiques à leur secteur dans les années à venir. Avec des pouvoirs et des ressources supplémentaires, le HHS proposera d'intégrer les directives cliniques spécifiques aux hôpitaux dans les réglementations et programmes existants, ce qui éclairera la création de nouvelles normes de cybersécurité applicables.
Une mise à jour de la règle de sécurité HIPAA est prévue pour ce printemps et inclura de nouvelles exigences en matière de cybersécurité. Certaines des idées évoquées impliquent de permettre aux patients d'inspecter leurs informations médicales protégées (PHI) en personne et de leur permettre de prendre des notes ou des photos de leurs PHI. Un autre changement envisagé est de réduire le délai maximum d'accès aux PHI de 30 à 15 jours.
Bien que les changements à venir soient évoqués depuis un certain temps, l’impact opérationnel sur la plupart des prestataires sera minime, a déclaré Mme Bollinger. « Je considère ces changements qui facilitent essentiellement l’accès des patients à leurs propres PHI comme une véritable codification de l’élément de service », a-t-elle déclaré. « Il s’agit des PHI des patients. Nous vivons dans un monde instantané avec la technologie, et nous devons maintenant agir rapidement et de différentes manières pour offrir un accès rapide. »
Le suivi des données des patients est une préoccupation majeure. Les exigences de confidentialité de la loi HIPAA peuvent être violées par la collecte et l’utilisation des données. « En tant que consommateur de soins de santé qui connaît les processus de sécurité en général », a déclaré Bollinger, je crains que les données agrégées permettent à quelqu’un, le gouvernement, les assureurs ou les systèmes de santé, de faire des suppositions à mon sujet en fonction de cette tendance des données des patients. Avec la présence de l’IA dans les soins de santé, je suis encore plus préoccupé par le risque que la vie privée des individus soit en danger. »
Ryan Witt, vice-président des solutions sectorielles pour Proofpoint à Sunnyvale, en Californie, recommande aux cliniciens de suivre les conseils du programme 405(d) du HHS. Il vise à développer des pratiques et des méthodologies exemplaires fondées sur le consensus pour renforcer la préparation du secteur de la santé et de la santé publique en matière de cybersécurité. « Il est très probable que toute législation HIPAA ultérieure sera étroitement alignée sur les recommandations 405(d) pour une résilience renforcée en matière de cybersécurité », a déclaré Witt.
Le secteur de la santé sera toujours vulnérable en raison de la valeur élevée de ses données. « Le secteur de la santé stocke également une quantité disproportionnée de données et doit souvent les conserver pendant de longues périodes, ce qui augmente la taille de la surface d’attaque », a expliqué Witt. « Le secteur compte également de nombreux travailleurs tiers et un nombre important de travailleurs à distance, qui utilisent souvent des appareils appartenant aux employés, ce qui complique le vecteur d’attaque. »
Des mesures proactives visant à créer un système plus résilient pour les prestataires de soins de santé sont nécessaires. Les cyberattaques contre les organisations de soins de santé proviennent désormais du monde entier et elles s’intensifient. « Le risque est plus grand que jamais et l’impact négatif qui en résulte sur les soins aux patients est un sujet de préoccupation important », a déclaré Witt. « Les conseils, par exemple ceux de l’équipe 405(d), à la disposition du secteur des soins de santé sont clairs, pragmatiques et très utiles. Le secteur des soins de santé doit maintenant rattraper son retard et égaler les autres secteurs qui ont réalisé des investissements importants pour améliorer leur préparation en matière de cybersécurité. »
