Salvaguardia dei dati sanitari digitali dagli attacchi informatici

Nel 2023, l'Ufficio per i diritti civili (OCR) del Dipartimento della Salute e dei Servizi Umani (HHS) ha segnalato 541 casi di violazione dei dati che hanno interessato oltre 500 persone. Alcuni di questi incidenti hanno riguardato milioni o addirittura decine di milioni di persone, come la violazione ampiamente pubblicizzata di HCA Healthcare durante l'estate. 

Il giorno del Ringraziamento dello stesso anno, Ardent Health Services ha subito un attacco ransomware, che ha spinto il sistema di 30 ospedali a chiudere proattivamente e a sospendere l'accesso di tutti gli utenti alle sue applicazioni informatiche. Ciò ha comportato ritardi nelle procedure non urgenti. 

A febbraio 2024, HIPAA Journal ha registrato 24 violazioni di dati che hanno coinvolto 10.000 cartelle cliniche. 

All'orizzonte si profilano nuovi requisiti di settore per la sicurezza dei dati sanitari, in quanto i legislatori si stanno muovendo per responsabilizzare le organizzazioni sulla protezione dei dati. 

L'HIPAA Privacy Rule, 45 CFR Parte 160 e Sottoparti A ed E della Parte 164, delinea gli usi e le divulgazioni consentiti e richiesti delle informazioni sanitarie protette (PHI). Le informazioni sanitarie protette possono esistere in qualsiasi forma, anche su carta, pellicola e in formato elettronico, e sono considerate informazioni sanitarie identificabili individualmente. 

La norma sulla sicurezza HIPAA, 45 CFR Parte 160 e Parte 164, sottoparti A e C, definisce i requisiti per le informazioni elettroniche sui dati personali (ePHI). Le entità coperte e i loro associati d'affari sono tenuti a mantenere la riservatezza, l'integrità e la disponibilità delle ePHI. 

La HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414, prevede che le entità coperte da HIPAA e i loro associati d'affari forniscano una notifica in seguito a una violazione di informazioni sanitarie protette non protette. 

NIST Special Publication 800 NIST SP 800-66r2, pubblicato nel febbraio 2024, fornisce una guida per le entità regolamentate (cioè le entità coperte da HIPAA e i business associate) sulla valutazione e la gestione dei rischi per le ePHI, identifica le attività tipiche che un'entità regolamentata potrebbe considerare di implementare come parte di un programma di sicurezza delle informazioni e presenta una guida che le entità regolamentate possono utilizzare, in tutto o in parte, per contribuire a migliorare la loro posizione di sicurezza informatica e assistere nel raggiungimento della conformità con la HIPAA Security Rule. 

Nel dicembre 2023, il Dipartimento della Salute e dei Servizi Umani (HHS) ha pubblicato un documento concettuale che delinea la sua strategia di sicurezza informatica per il settore sanitario. Questa strategia enfatizza l'intensificazione degli sforzi di applicazione e l'istituzione di elevati standard di pratica industriale. Successivamente, nel gennaio 2024, l'HHS ha presentato i suoi obiettivi di performance di cybersecurity (CPG) specifici per il settore dell'assistenza sanitaria e della sanità pubblica. Questi obiettivi sono suddivisi in categorie "essenziali" e "migliorate", con l'obiettivo di affrontare le vulnerabilità di cybersecurity prevalenti nel settore sanitario. 

Il programma HHS 405(d) offre una guida pratica alle organizzazioni sanitarie che devono affrontare la complessità dell'implementazione di solide misure di sicurezza dei dati. Questa iniziativa sottolinea l'integrazione strategica dei sistemi di Data Loss Prevention (DLP) come componente fondamentale di un quadro completo di sicurezza dei dati. L'adattamento delle soluzioni DLP alle esigenze specifiche dei flussi di lavoro nel settore sanitario può ridurre significativamente i falsi positivi e migliorare l'efficacia complessiva delle iniziative di protezione dei dati.  

Leggi federali come il Gramm-Leach-Bliley Act (GLBA), il Family Educational Rights and Privacy Act (FERPA) e il Fair Credit Reporting Act (FCRA) tutelano la riservatezza dei dati personali. Oltre a queste normative federali, continuano ad emergere nuove leggi statali che rafforzano ulteriormente le misure di protezione e privacy dei dati: 

Con i dati e la sicurezza dei pazienti di primaria importanza, come possono i fornitori di servizi sanitari essere sicuri che i loro strumenti di sicurezza esistenti siano efficaci contro le minacce in evoluzione? 

Si è registrato un notevole aumento degli attacchi che hanno preso di mira le strutture sanitarie più piccole e regionali, sottolineando la necessità di adottare misure di sicurezza informatica efficaci. Queste organizzazioni conservano in genere dati estremamente sensibili, il che le rende bersagli privilegiati degli hacker. L'implementazione di approcci di sicurezza "a più livelli", che includano la prevenzione della perdita di dati e il rilevamento proattivo delle minacce, è fondamentale per ridurre al minimo i danni potenziali. 

La DLP prevede strategie volte a evitare la divulgazione involontaria o non autorizzata di dati sensibili, come le cartelle cliniche dei pazienti o PHI. Questo aspetto è particolarmente cruciale nel settore sanitario, dove la compromissione dei dati personali può avere un impatto profondo sui pazienti, portando potenzialmente al furto di identità o alla compromissione delle cure mediche. Stabilire una solida strategia DLP è imperativo per le organizzazioni per mitigare le violazioni dei dati e sostenere la sicurezza e la riservatezza dei dati sanitari. 

OPSWAT Proactive DLP rileva e blocca i dati sensibili, fuori dalle politiche e riservati presenti nei file e nelle e-mail. Equipaggiato per ridurre le potenziali violazioni dei dati, Proactive DLP impiega una serie completa di misure di sicurezza, tra cui il rilevamento del malware trasportato dai file, l'impiego di una classificazione dei documenti basata sull'intelligenza artificiale e l'utilizzo del riconoscimento ottico dei caratteri (OCR) per l'eliminazione delle informazioni sensibili. Supporta la conformità HIPAA grazie a solide funzionalità di prevenzione della perdita di dati, di controllo degli accessi e di riduzione dei rischi.  

OPSWAT MetaDefender La piattaforma offre una prevenzione completa delle minacce su misura per le organizzazioni sanitarie, per gestire i dati sanitari in modo sicuro ed economico. MetaDefender La piattaforma semplifica i processi operativi di sicurezza, è facilmente scalabile e fornisce tecnologie leader di mercato per una strategia di difesa in profondità, quali: 

• Deep CDR disattiva i file potenzialmente dannosi e rigenera i contenuti sicuri da usare.
• Multiscanning rileva malware noti e sconosciuti con oltre 30 motori AV.
• Adaptive Sandbox rileva le minacce informatiche con analisi dinamiche e statiche.
• Il Paese di origine limita l'accesso ai dati in base alla posizione e al fornitore.