Écosystème pour la cybersécurité en santé: un système qui a besoin de soins complets

Suivi d’un article d’un invité de Andrew Mahler, JD, CIPP / US, AIGP, CHP, CHPC, CHRC, Vice-président de la vie privée, services conformément à Clearwater

Lorsque l’écosystème des informations sur les soins de santé fonctionne comme il se doit, il reflète un système circulatoire sain. Ses réseaux et chemins garantissent que les données vitales sur les patients s’écoulent vers les bons endroits au bon moment, avec des informations sur les patients en continu d’un service de santé à un autre. Les systèmes hospitaliers agissent souvent comme un cœur des opérations de flux de données, facilitant un flux d’informations sain et continu.

Mais même le cœur le plus fort ne peut pas prospérer dans un corps compromis. Le seul point faible, tel qu’un appareil non garanti ou un mot de passe réutilisé, peut provoquer l’effondrement de l’ensemble du système, de sorte que les patients sont enroulés des violations des données et les prestataires essaient de récupérer.

Malgré une telle douleur et un titre altéré, de nombreuses organisations giflent un groupe de booster sur la protection complexe des données et les blessures de sécurité. Apparemment une petite infiltration – des installations médicales non endommagées, un retard des fournisseurs – peut se transformer dans le chaos, fermer les réseaux, détecter des millions de dossiers et arrêter les soins pendant des jours.

Maintenant, plus que jamais, chaque acteur de soins de santé – pas seulement les hôpitaux – doit renforcer la protection pour éviter les saignements délibérés et accidentels de patients sensibles.

La menace élargie du paysage

L’hôpital fait la une des journaux lorsqu’il perturbe la violation, mais ce ne sont qu’une artère dans un énorme réseau. Cliniques, pharmacies, assureurs, sociétés de facturation, plateformes de télésanté, fabricants médicaux, startups de santé – même les patients eux-mêmes – créent un site Web interconnecté où la seule connexion faible peut libérer le chaos. Ce n’est pas seulement un problème avec l’hôpital; C’est une crise de l’écosystème.

Les chiffres de récupération continuent de souligner les risques. Le Bureau des droits civiques (OCR) en 2024 a déclaré que le piratage et les incidents informatiques ont stimulé 82% des violations et 94% des dossiers en voie de disparition. Les hôpitaux ont été notés exposés à 54 millions de dossiers – correspondant presque à un total de 2022 et 2023 – pourtant, les co-travailleurs commerciaux (BAS) ont couvert que 80% de tous les enregistrements soient violés malgré la participation 30% des incidents.

Les fissures se propagent davantage. La télésanté avec un chiffrement faible, le stimulateur cardiaque-lié à Internet laissé par une vitesse vulnérable ou de démarrage qui préfère la sécurité avant que la sécurité ne puisse servir de points de saisie. Les patients jouent également un rôle – les mots de passe penchés, le téléchargement des applications non garanties, le partage d’informations avec des tiers, les attaquants clés. Les fabricants médicaux peuvent également prendre du retard et laisser des pompes à perfusion connectées à Internet ou au stimulateur cardiaque comme points d’entrée.

L’hôpital ressent du sommeil, mais des fissures se forment à travers l’écosystème. La vulnérabilité dans une cascade de nœud à travers le système, nécessitant une supervision robuste du fournisseur, une surveillance proactive et des commandes durables.

Envisagez la perturbation des soins de santé à partir de 2024, ce qui coûte 3 milliards de dollars (et la croissance) et révélant des données de 190 millions de personnes. Cette violation montre jusqu’où les vagues obtiennent. Lapse n’a pas seulement été affectée par les hôpitaux; Il a perturbé les compagnies d’assurance, les pharmacies, les prestataires et les patients à l’échelle nationale.

Capital privé: une vitrine d’une file d’attente de cybersécurité négligée

D’autres joueurs intensifient les paris. Les sociétés de capital privé qui envisagent des investissements en soins de santé sont confrontées aux risques de la grincement du portefeuille peuvent faire dérailler la valorisation de l’accord ou réduire les autorités réglementaires du jour au lendemain aux vis de resserrement des niveaux locaux, fédéraux et mondiaux. Aucune entité n’est exemptée.

La cybersécurité et la protection des données pour le capital privé sont basées sur une simple vérité: le risque et la récompense main dans la main. Pendant le processus de diligence raisonnable, les fonds, les opérations, les positions du marché – chaque angle – avant la conclusion de l’accord. Dans le paysage d’aujourd’hui, cependant, il existe deux concepts interconnectés de conformité avec les réglementations que de nombreuses entreprises ne prennent pas en compte jusqu’à ce qu’elle soit trop tard: la cybersécurité et la protection des données.

Les menaces de sécurité des données ne sont pas seulement un problème informatique; Ils représentent un risque d’investissement tout au long du portefeuille. La seule attaque de ransomware, violation des données ou abus des personnes initiées peut détruire toute la nuit de l’entreprise. Dans ces cas, les accords peuvent échouer ou les amendes réglementaires peuvent s’accumuler. La réputation peut faire le plein. Et le coût de l’inactivité? Envisagez un changement dans les violations des soins de santé ou un événement d’exploitation de masse lié à la vulnérabilité de Moveit qui a presque affecté Un million de destinataires actifs de Medicare. Moveit, une plate-forme largement utilisée pour le transfert de dossiers dans l’industrie médicale, a souligné les faiblesses des écosystèmes des vendeurs et a représenté un défi important pour les entreprises soutenues par un capital privé, qui dépend de l’externalisation informatique ou des services de données.

Au plaisir de voir

La réparation nécessite toutes vos mains à bord. Les hôpitaux ne peuvent pas protéger les données des patients eux-mêmes ou ne devraient pas. Chaque partie participante doit adopter des analyses de risques compatibles à risque, accepter des trames telles que le cadre de cybersécurité NIST et les procédures de cybersécurité dans les soins de santé (HICP) et le double de la supervision des vendeurs et la sécurité de l’équipement.

L’avenir nécessite une coopération, pas pour montrer les doigts. Les patchs réactifs ne remplissent pas le saignement; L’unité proactive sera. Nous avons besoin d’une culture de responsabilités partagées des salles de réunion à l’appareil des lits. La confiance du patient est basée sur des données sécurisées, et il s’agit d’un impulsion de l’ensemble de l’écosystème doit constamment battre. Cette approche proactive nécessite une coopération à tous les niveaux des écosystèmes médicaux et financiers, y compris la formation continue, le suivi et l’audit des politiques et des contrôles et de la participation à toutes les parties.

La stratégie complète de réflexion sur la transmission, qui comprend une analyse / risques / évaluation régulière de l’organisation, ainsi que ses concessionnaires / partenaires, ainsi que des stratégies pour soutenir la maturité et la résistance continue, garantissent que l’industrie de la santé peut non seulement résister aux menaces actuelles, mais également s’adapter au paysage en développement des menaces et du risque d’information et de sécurité. En acceptant la culture de la conscience, de la responsabilité et de la responsabilité, nous pouvons protéger les données sensibles qui coulent comme une confiance de sauvetage du patient et des soins.

À propos d’Andrew Mahler

Andrew Mahler est vice-président des services de confidentialité et le respect de Clearwater, où les initiatives conduisent à accroître la protection et le respect des données dans toute l’industrie médicale. Pour plus d’informations sur la façon dont Clearwater conserve des frais de cybersécurité médicale, visitez Sécurité de Clearwater.