Le département américain de la Santé et des Services sociaux (HHS) a proposé des mises à jour de la Health Insurance Portability and Accountability Act de 1996 (HIPAA) pour sécuriser les données de santé des patients à la suite d’une augmentation des fuites massives de données de santé.
Ces règles de cybersécurité plus strictes, proposées par le Bureau des droits civils (OCR) du HHS et qui devraient être publiées en règle finale dans les 60 jours, obligeraient les organisations de santé à crypter les informations de santé protégées (PHI), à mettre en œuvre une authentification multifacteur et à segmenter leurs réseaux pour rendre plus difficile pour les attaquants de se déplacer latéralement à travers eux.
« Ces dernières années, il y a eu une croissance alarmante du nombre de violations affectant 500 personnes ou plus signalées au Ministère, du nombre total de personnes touchées par de telles violations et de l’escalade généralisée des cyberattaques utilisant le piratage et les ransomwares », la proposition du HHS dit.
« Le Ministère est préoccupé par le nombre croissant d’atteintes à la sécurité et d’autres incidents de cybersécurité subis par les entités réglementées. Nous sommes également de plus en plus préoccupés par la tendance à la hausse du nombre de personnes touchées par de tels incidents et par l’ampleur des dommages potentiels causés par de tels incidents. »
Reuters rapporte qu’Anne Neuberger, conseillère adjointe à la sécurité nationale de la Maison Blanche pour les technologies cybernétiques et émergentes, a également déclaré aux journalistes que les mises à jour des règles de cybersécurité HIPAA avaient été motivées par les attaques de ransomware et les violations massives qui ont affecté les hôpitaux et les Américains ces dernières années.
Neuberger a ajouté que la mise en œuvre de ces règles coûterait environ 9 milliards de dollars la première année et plus de 6 milliards de dollars au cours des quatre années suivantes.
« La règle de sécurité [sous HIPAA] a été publiée pour la première fois en 2003 et elle a été révisée pour la dernière fois en 2013, il s’agit donc de la première mise à jour de cette règle de 20 ans en plus d’une décennie, et elle obligera les entités qui conservent des données de santé à faire des choses comme crypter ces données afin qu’en cas d’attaque, elles ne puissent pas être divulguées sur le Web et mettre en danger les individus », a déclaré Neuberger.
« Le coût de ne pas agir est non seulement élevé, mais il met également en danger les infrastructures essentielles et la sécurité des patients, et entraîne d’autres conséquences néfastes. »
Plus récemment, l’un des plus grands systèmes de santé privés américains, Ascension, a informé près de 5,6 millions de personnes que leurs données personnelles et de santé avaient été volées lors d’une attaque de ransomware Black Basta en mai.
Après la cyberattaque, les employés d’Ascension ont été obligés de suivre les médicaments et les procédures sur papier car les dossiers électroniques des patients n’étaient plus accessibles. Le géant de la santé a également dû mettre certains appareils hors ligne et détourner les services médicaux d’urgence vers d’autres unités de santé pour éviter les retards de triage.