Dans notre rapport Spotlight sur les soins de santé, basé sur les métadonnées anonymes des clients, nous avons identifié une tendance à l'erreur de l'utilisateur interne. Les lacunes dans la mise en œuvre d'un plan de sécurité ou dans les politiques et procédures constituent un problème courant, qui peut entraîner des erreurs de la part du personnel, exposant ainsi les organismes de soins de santé au vol ou à la perte de données.
Faisant écho à ce que Vectra a observé chez ses propres clients du secteur de la santé, le rapport Verizon 2018 Data Breach Investigations Report indique que l'un des principaux risques de sécurité pour le secteur de la santé est sa vulnérabilité aux erreurs internes et aux mauvais usages. Le rapport montre que le secteur de la santé est plus exposé aux menaces accidentelles ou intentionnelles individu qu'aux menaces externes.
Le rapport Verizon 2018 Data Breach Investigations Report était le plus récent disponible au moment de notre recherche. Alors que le rapport Spotlight de Vectra sur les soins de santé était basé sur les métadonnées anonymes des clients de 2018, le rapport 2018 de Verizon était basé sur la recherche de divulgation des violations de 2017. Cela signifie qu'il y a eu une année d'écart dans les comportements observés. Depuis que Verizon a publié son nouveau rapport 2019 sur les enquêtes relatives aux violations de données, j'ai voulu comprendre ce qui avait changé dans le secteur des soins de santé depuis le rapport de 2018. Le nouveau rapport de Verizon couvre la même période que le rapport 2019 Vectra Spotlight Report on Healthcare.
Sans surprise, peu de choses ont changé dans le rapport Verizon entre 2018 et 2019. Les résultats pour les soins de santé semblent être presque identiques. En comparant les rapports, j'ai dû continuellement vérifier si je regardais les données de 2018 ou de 2019, car elles étaient tellement similaires. J'ai pris ce que Verizon a rapporté pour les soins de santé en 2018 et 2019 et je l'ai décomposé dans ce tableau pour comprendre les variations.
La différence évidente est la fréquence des violations, avec 750 incidents signalés en 2018 contre 466 en 2019. Cette diminution est une bonne tendance générale. Je suis heureux de constater que le nombre total d'incidents a tendance à diminuer, tout comme le nombre de divulgations de données confirmées. En examinant le reste des données, j'ai trouvé les mêmes schémas d'erreurs diverses ainsi que les mêmes cybercriminels, motifs et types de données compromises.
Verizon divulgue le nombre total et les pourcentages du type d'actions entreprises lors des incidents. Si l'on compare ces mesures en chiffres bruts, 2019 a connu beaucoup moins d'incidents, le nombre total d'incidents sur l'année ayant eu tendance à diminuer. Mais lorsque j'ai comparé les mesures prises en fonction des pourcentages, les chiffres sont très cohérents d'une année à l'autre, avec seulement quelques points de pourcentage de différence entre la plupart d'entre eux.
En comparant les études de Vectra et de Verizon, on constate que le problème des erreurs internes dans les soins de santé est bien réel et qu'il nous concerne tous. Les organismes de santé sont constamment confrontés à la difficulté de trouver un équilibre entre la sécurité et l'application des politiques, d'une part, et la convivialité et l'efficacité, d'autre part. En effet, ils doivent gérer des systèmes hérités et des dispositifs médicaux qui, pour de nombreuses raisons, ne disposent pas toujours des meilleurs contrôles de sécurité.
En conséquence, les processus vulnérables persistent et les modèles de confiance faibles restent souvent mis en œuvre. Dans le rapport Spotlight Report on Healthcare de Vectra 2019, nous avons recommandé une plus grande visibilité du trafic et des comportements à l'intérieur du réseau. Cela aidera les équipes de sécurité à rester vigilantes et plus confiantes à mesure que les technologies médicales de pointe sont adoptées et déployées. Les technologies médicales émergentes continueront à devenir essentielles à la qualité et à la rapidité de la prestation des soins de santé, en attirant les patients et en leur offrant les meilleurs résultats.
Alors que la transformation des soins de santé grâce aux nouvelles technologies médicales se poursuit, les organismes de soins de santé doivent rester attentifs aux technologies en place, à la manière dont elles sont utilisées et aux cas où des actions non autorisées se produisent.