Principales exigences et normes de sécurité des données HIPAA

Chaque organisation, quel que soit son secteur d'activité ou sa taille, doit sécuriser ses données pour minimiser les data leakage et autres incidents de sécurité. L'importance de la data security dans le secteur de la santé est renforcée par la nécessité de se conformer à la Health Insurance Portability and Accountability Act (HIPAA). Cet article décrit les stratégies et tactiques de protection des données que les organisations de santé peuvent utiliser pour comply with the key provisions of HIPAA, et explore les menaces les plus courantes pour la sécurité des données dans le secteur de la santé.

Règles de sécurité et de confidentialité des données HIPAA

Contexte

Les professionnels de la technique dans les organisations de santé sont responsables de la protection des informations de santé contre les menaces de sécurité et les risques de sécurité. Les pirates externes et les initiés malveillants tentent constamment d'accéder aux informations de santé protégées électroniquement (e-PHI), généralement pour un gain financier issu de la vente des informations, du vol d'identité ou du chantage. Les informations de santé protégées comprennent toutes les informations relatives à la santé passée, présente ou future d'une personne (mentale ou physique). Cela inclut les données sur les services médicaux fournis, les paiements pour les soins de santé et les avantages de l'assurance maladie.

La loi HIPAA a été promulguée en 1996 pour obliger les organisations de santé à améliorer leur sécurité des données. Elle comprend de multiples exigences qui régissent la manière dont les organisations de santé doivent travailler avec les informations de santé. Par exemple, elles doivent protéger la confidentialité des informations de santé personnelles en restreignant l'utilisation ou la divulgation de ces informations sans l'autorisation du patient.

HIPAA comprend deux composants clés : la Règle de Confidentialité et la Règle de Sécurité.

Règle de confidentialité

La règle de confidentialité HIPAA réglemente qui peut avoir accès aux PHI et comment elles peuvent être utilisées et divulguées. Les exigences clés sont les suivantes :

• Vous devez mettre en œuvre des politiques et des procédures qui restreignent l'accès et l'utilisation des informations de santé protégées en fonction des rôles des employés. Les informations de santé protégées ne doivent pas être accessibles à un employé qui n'en a pas besoin, tel qu'un gestionnaire de bureau ou un agent de sécurité
• Vous devez mettre en œuvre des politiques et des procédures qui limitent l'utilisation et la divulgation des informations de santé protégées (PHI) au strict nécessaire. Par exemple, si une compagnie d'assurance a besoin du nom d'une personne, de son numéro de sécurité sociale et des détails de sa dernière procédure médicale, la règle de confidentialité vous oblige à ne pas envoyer l'intégralité du dossier médical de la personne.
• Vous devez obtenir l'autorisation écrite d'une personne avant de divulguer ses informations de santé protégées. Par exemple, si vous prévoyez d'envoyer des informations de santé personnelles à une entreprise pharmaceutique, vous devez d'abord obtenir l'autorisation écrite de la personne.

Il existe des sanctions civiles et pénales potentielles pour non-respect de la règle de confidentialité HIPAA. Bien que certains États aient leurs propres règles, HIPAA est une exigence fédérale qui prévaut sur les règles contradictoires au niveau de l'État. Les entités couvertes par HIPAA incluent non seulement les prestataires de soins de santé comme les hôpitaux et les maisons de retraite, mais aussi les régimes de santé (compagnies d'assurance maladie, HMO, etc.) et les maisons de compensation des soins de santé (entités qui traitent les informations de santé qu'elles reçoivent d'autres entités).

Règle de sécurité HIPAA

La règle de sécurité HIPAA exige que les organisations de soins de santé protègent les ePHI en utilisant des garanties administratives, physiques et techniques appropriées. Plus précisément, la règle de sécurité exige que les entités couvertes fassent ce qui suit :

• Assurez la confidentialité, l'intégrité et la disponibilité de toutes les informations de santé électroniques (e-PHI) qu'ils créent, reçoivent, maintiennent ou transmettent. Cette règle vous oblige à assurer la confidentialité, l'intégrité et la disponibilité des données (CIA, ou le «triade CIA»). Examinons les composants de la règle individuellement :
  • Confidentialité. Vous pouvez aider à garantir la confidentialité en mettant en œuvre des contrôles de sécurité tels que les listes de contrôle d'accès (ACL) et le chiffrement. Le chiffrement offre une sécurité et une confidentialité supérieures à celles des ACL. D'autres contrôles de sécurité ou logiciels sont souvent superposés aux ACL et au chiffrement ; cela peut inclure des logiciels de gestion de configuration, de surveillance et d'alerte, et des logiciels d'audit.
  • Intégrité. L'intégrité des données signifie que les données n'ont pas été altérées. Par exemple, si une attaque de type homme-du-milieu intercepte et modifie des données avant de les envoyer à leur destination originale, les données ne sont pas intègres. Un moyen de garantir l'intégrité est d'utiliser une signature numérique ou un hachage. Pour les données stockées dans des bases de données, vous devez assurer l'intégrité de l'entité, l'intégrité référentielle et le domaine
  • Disponibilité. Parfois, les gens oublient que la disponibilité est un élément clé de la Data Security Posture Management. Pour garantir que les personnes puissent accéder aux données dont elles ont besoin, les organisations peuvent mettre en œuvre diverses solutions, telles que la réplication du centre de données principal vers un centre de données secondaire. Les équilibreurs de charge, le matériel redondant et d'autres stratégies peuvent également contribuer à assurer une haute disponibilité.

• Identifiez et protégez-vous contre les menaces raisonnablement anticipées à la sécurité ou à l'intégrité des informations protégées. Cette règle nécessite une certaine interprétation. De nombreuses organisations préfèrent errer par excès de prudence et inclure autant de menaces que possible, allant jusqu'à inclure toute leur chaîne d'approvisionnement ou à restreindre l'utilisation des appareils mobiles dans certaines zones de leurs installations. Cette interprétation stricte aide à garantir qu'elles répondent aux exigences de la règle de sécurité. Dans tous les cas, les menaces raisonnables incluent certainement la modification inappropriée des données, l'accès non autorisé aux données et les données Ces menaces et d'autres sont discutées plus en détail plus loin dans cet article.
• Protégez-vous contre les utilisations ou divulgations interdites raisonnablement anticipées. Cette règle est également ouverte à interprétation. Est-il raisonnable de prévoir qu'un employé puisse révéler des informations de santé protégées à un ami du patient ? Un médecin pourrait-il rapporter certains dossiers de patients ou détails de santé des patients aux médias si une célébrité est traitée ? Cette règle pourrait vous obliger à considérer de tels cas.
• Assurez la conformité de votre personnel. Cette règle couvre certaines des mesures de sauvegarde administratives nécessaires pour se conformer à la Règle de Sécurité. Pour garantir la conformité, vous devez éduquer votre personnel. Ils doivent comprendre à un niveau élevé ce qu'est HIPAA et le rôle qu'ils jouent dans la conformité, ainsi que les politiques et procédures de sécurité de votre organisation. Une formation répétée tout au long de l'année est nécessaire pour que les employés apprennent de nouvelles exigences ou méthodes. Assurez-vous également de mettre en place des tests réguliers, et de fournir une formation supplémentaire aux individus qui en ont besoin.

Règle d'application de la HIPAA

Au-delà de la règle de confidentialité et de la règle de sécurité, vous devriez également connaître la HIPAA Enforcement Rule, qui concerne la conformité, les enquêtes et les pénalités.

HITECH Act

La loi Health Information Technology for Economic and Clinical Health (HITECH) élargit le champ d'application de HIPAA. Elle encourage l'utilisation des dossiers de santé électroniques, augmente la responsabilité en cas de non-conformité, réglemente la notification des violations et exige que certains partenaires commerciaux des organisations couvertes par HIPAA se conforment à HIPAA.

Stratégies pour la conformité HIPAA

Il est évident que la conformité HIPAA est une entreprise complexe et les risques d'échec sont élevés. Il existe de multiples ressources qui peuvent vous aider à atteindre et maintenir un environnement informatique conforme à HIPAA Software.

L'Institut national des normes et de la technologie (NIST) établit des normes nationales et offre des ressources gratuites en matière de sécurité informatique, telles que des cadres comme le NIST Cybersecurity Framework. Leur guide d'introduction peut aider votre organisation à se conformer à la règle de sécurité HIPAA.

L'Alliance de Confiance pour l'Information de Santé (HITRUST) est une organisation à but non lucratif dont la mission est d'aider les organisations à protéger leurs données sensibles. Leur Cadre de Sécurité Commun (CSF) est un cadre qui facilite la conformité des organisations avec la HIPAA et d'autres lois, et il offre une bonne interopérabilité avec d'autres cadres et normes. Bien que la HIPAA ne soit pas une norme certifiable, les organisations de santé peuvent obtenir la certification HITRUST.

Principales menaces pour la sécurité des données de santé

L'industrie de la santé fait face à de nombreuses menaces pour la sécurité des données similaires à celles d'autres secteurs. La principale différence est que pour les organisations de santé, les données de santé sont généralement la cible ultime, plutôt que les secrets commerciaux ou les dossiers financiers. Voici les principales menaces et incidents de sécurité potentiels :

• Violation de données. En général, lorsqu'une personne accède à des informations sans autorisation, il s'agit d'une data breach, que la personne soit un initié avec de mauvaises intentions, un pirate informatique ou simplement un employé trop curieux. Cependant, les cas suivants de divulgation de PHI ne sont pas considérés comme des data breaches selon la loi HIPAA :
  • Une personne accède accidentellement ou utilise des PHI « de bonne foi et dans le cadre de son autorité » et ne divulgue pas davantage les PHI d'une manière non autorisée par la HIPAA Privacy Rule.
  • Une personne autorisée divulgue accidentellement des informations de santé protégées (PHI) à une autre personne autorisée de la même organisation et ne divulgue pas davantage les PHI d'une manière non conforme à la Règle de Confidentialité.
  • Une personne autorisée a divulgué des données à quelqu'un de manière inappropriée mais croit de bonne foi qu'ils ne seront pas en mesure de conserver les données.

Lorsque les organisations découvrent une violation de données, elles doivent fournir une notification de violation conformément à la règle de notification de violation de l'HIPAA.

• Exfiltration de données. L'exfiltration de données est la copie d'informations vers un emplacement non autorisé. La plupart des cas d'exfiltration de données impliquent la copie de données vers un emplacement non autorisé à l'extérieur de l'organisation. D'autres termes courants pour cela sont la fuite de données et l'exfiltration de données. La règle de notification de violation de données s'applique également à l'exfiltration de données ainsi qu'à la violation de données.
• Attaques de rançongiciels. Le rançongiciel est un type de logiciel malveillant qui vous empêche d'accéder à un ordinateur ou aux données de cet ordinateur en chiffrant les données. Pour récupérer vos données, vous devez soit payer une rançon, soit restaurer à partir d'une sauvegarde. Les paiements de rançon sont souvent effectués via des monnaies numériques intraçables, telles que Bitcoin. Selon les recherches de Coveware, le secteur de la santé se classait troisième parmi les industries ciblées par les attaques de rançongiciels en 2019. Cette situation ne risque pas de s'améliorer, car les attaquants comprennent que l'urgence de restaurer les données nécessaires aux traitements médicaux signifie qu'ils sont plus susceptibles d'être payés. Cependant, payer la rançon ne garantit pas que vous obtiendrez réellement une clé de déchiffrement ; par conséquent, la meilleure stratégie pour garantir votre capacité à vous remettre des attaques de rançongiciels est d'avoir des sauvegardes hors ligne.

• Autres menaces cybernétiques. Une variété d'autres menaces cybernétiques mettent en péril les organisations de santé. Alors que de nombreuses attaques visent à voler des données de santé électroniques, d'autres cherchent à prendre le contrôle d'appareils, de systèmes ou de services. Les organisations de santé sont des cibles privilégiées pour toutes sortes d'attaques cybernétiques, car, comme mentionné précédemment, l'indisponibilité de systèmes ou de données cruciaux peut entraîner non seulement des amendes et des dommages à la réputation, mais aussi des résultats de santé médiocres et même la perte de vies humaines. L'adoption de nouvelles technologies élargit la surface d'attaque ; en particulier, la sécurité du cloud est une préoccupation de plus en plus importante pour le secteur de la santé.

Conclusion

Certaines organisations de santé s'appuient sur des équipes informatiques internes pour gérer la plupart de leurs besoins techniques, tandis que d'autres comptent sur des prestataires de services ou des fournisseurs de produits pour mettre en œuvre ou soutenir leurs initiatives de gestion de la sécurité. Peu importe la stratégie que vous choisissez, pour protéger correctement les PHI et respecter la HIPAA, vous devez vous assurer que vous et tous vos associés commerciaux prenez les mesures nécessaires pour minimiser le risque que les informations de santé soient divulguées de manière inappropriée, volées ou cryptées.