Relatório: 94% dos hospitais americanos sofreram violações de dados e 45% tiveram quíntuplos

Profissionais de saúde competentes são grandes as coisas médicos, quer medição de açúcar no sangue em jejum para diagnosticar diabetes, esfregar as costas de nossas gargantas, ou limpando a placa fora de nossos molares imundas.

Protegendo aparelhos eletrônicos ou registros de saúde? Não muito.

Esse é o takeaway de um estudo do Instituto Ponemon, que entrevistou 80 organizações de saúde em os EUA e descobriu que 75% não prender os dispositivos médicos contendo dados de pacientes sensíveis, enquanto 94% ter vazado dados nos últimos dois anos (principalmente devido a negligência pessoal).

Apropriadamente o suficiente, o estudo, o estudo de benchmark Terceiro Anual sobre a privacidade do paciente e de segurança de dados [PDF] , foi pago por especialistas de identidade, de uma empresa que vende serviços de proteção de roubo de identidade.

O estudo também descobriu que 69% das organizações inquiridas não proteger FDA-aprovados dispositivos médicos, como bombas de insulina ou bombas de coração sem fio.

O pensamento de ser, muito provavelmente, que a obtenção de tais dispositivos não é apenas trabalho de saúde, o relatório sugere:

"Esta descoberta pode refletir a possibilidade de que eles acreditam que é a responsabilidade do fornecedor - e não o prestador de cuidados de saúde -. Proteger esses dispositivos"

Na verdade, as preocupações sobre a segurança do dispositivo médico recentemente levou os EUA Government Accountability Office (GAO), com estímulo do Congresso, para emitir um relatório recomendando que os EUA Food and Drug Administration (FDA) começar a pensar sobre como proteger as bombas de insulina e desfibriladores implantáveis ​​de ser vulnerável a ataques direcionados.

Entretanto, assim como prestadores de serviços médicos mover em direção registros eletrônicos e trocas de informações de saúde onde podem compartilhar arquivos, o levantamento revela que os ciberataques contra as organizações de saúde estão crescendo em freqüência.

Isso é sublinhada pelas manchetes detalhando freqüentes violações de dados em instalações médicas.

Aqui são apenas três das manchetes de saúde violação que apareceram desde 30 de Novembro 2012:

• Alere Home Monitoring em Waltham, Massachusetts, que informou que mais de 100 mil pacientes foram afetados por uma violação envolvendo um laptop roubado.
• Infusão Universidade de Virginia Medical Center Início Continuum igualmente informou que cerca de 2.000 pacientes foram afetados por uma violação decorrente de um farmacêutico perder um stick USB.
• Por sua parte, Christus Hospital de São João, em Houston disse a um número não revelado de pacientes que participaram do curso de Medicina de São João Esporte que um drive USB criptografado que contém informações sensíveis haviam desaparecido, de acordo com HealthcareInfoSecurity.com.

Obviamente, como em muitas indústrias, o erro humano está no coração da maioria das violações de dados, seja ele laptops roubados, perdidos sticks de memória USB, ou extraviado fill-in-the-branco dispositivos.

Como ele vai com cientistas de foguetes, assim também foi com os profissionais de saúde: pesquisa Ponemon Institute descobriu que as três principais causas de violações de dados de prestadores de cuidados de saúde eram, de fato, perdido ou roubado dispositivos de computação, erros de funcionários e de terceiros snafus .

O preço de todas estas violações é crescente. Ponemon calcula que o custo médio de uma organização violado atingirá 2,4 milhões dólares ao longo de dois anos, um pouco acima dos US $ 2,2 milhões em 2011 e US $ 2,1 milhões em 2010.

O estudo se baseia em 324 entrevistas com 80 organizações de saúde, incluindo hospitais ou clínicas que fazem parte de uma rede de cuidados de saúde (46%), sistemas integrados de entrega (36%) e hospitais ou clínicas autônomos (18%).

Os participantes vieram de diversos departamentos: segurança, administrativa, de privacidade, de conformidade, finanças e clínica.

Aqui são achados mais a partir do relatório:

• 94% das organizações tiveram pelo menos uma violação de dados, nos últimos dois anos. O número médio de cada organização participante foi de quatro incidentes de violações de dados nos últimos dois anos.
• O impacto económico médio de uma violação de dados nos últimos dois anos para que as organizações de saúde que responderam foi de US $ 2,4 milhões. Isso é quase 400.000 dólares desde que o estudo foi realizado em 2010.
• O número médio de registros perdidos ou roubados por violação era 2769. Os tipos de dados perdidos ou roubados paciente mais frequentemente incluídos prontuários e registros de faturamento e de seguros.
• 52% descoberto a violação de dados, como resultado de uma auditoria ou avaliação, 47% descobriram a violação de dados através de empregados.
• Mais da metade (54%) das organizações têm pouca ou nenhuma confiança que a sua organização tem a capacidade de detectar qualquer perda de dados do paciente ou roubo.
• Funcionários de licenciamento 81% e pessoal médico para utilizar os seus próprios dispositivos móveis, como smartphones ou tablets para se conectar a redes de suas organizações ou sistemas corporativos. No entanto, 54% dos entrevistados dizem que não está confiante de que esses dispositivos móveis são de propriedade pessoal segura.
• 91% dos hospitais pesquisados ​​estão usando serviços baseados em nuvem, ainda falta de confiança de 47% na capacidade de manter os dados seguros na nuvem.
• Apesar dos ataques recentes sobre dispositivos médicos, 69% dos entrevistados dizem que sua organização de segurança de TI e / ou atividades de proteção de dados não incluem a segurança da FDA-aprovados dispositivos médicos.

É interessante notar que enquanto 94% dos entrevistados tinham pelo menos uma violação de dados nos dois anos anteriores relatório, 45% que tinham mais de cinco incidentes. Isso é acima de apenas 29% relataram que o parto quíntuplos de violações de dados (não! não pude resistir!) Em 2010.

O que há com isso? Ponemon sugere que esta conclusão particular, sublinha a importância de "determinar a causa de uma violação e que medidas devem ser tomadas para tratar de áreas potencialmente vulneráveis ​​a futuros incidentes."

Justo.

Traduzir isso em Inglês, e provavelmente você vai chegar a uma série de conclusões, um dos quais a NASA veio com, depois de uma série de violações de dados.

A saber: depois que a agência espacial dos EUA ainda sofreu outro roubo de laptop criptografado em novembro de 2012, que se esforçavam para exigir criptografia de disco completo agência de largura.

Ou, talvez, da mesma forma, essas seqüências de violação de dados de saúde levará a regras que levam a execução de criptografia em chaves USB.

Isso é uma lição a Polícia Greater Manchester aprendeu da maneira mais difícil depois de uma chave USB criptografado foi roubado da casa de um policial - uma violação de dados para o qual o Escritório de Informação do Reino Unido Comissário tapa-los com uma £ 150.000 multa.

Infelizmente, as habilidades médicas não pode ser entregue em um vácuo hoje em dia. Eles não podem ser entregues sem preocupação com a segurança.

Aqui está esperando que os nossos muito inteligentes, as organizações de saúde muito capazes podem conter essa epidemia de fumbles de segurança.

_{Computador com estetoscópio imagem do Shutterstock.}