Skip to content
Les pirates ont assiégé les soins de santé américains et un petit bureau du HHS cède sous la pression


« Ils sont un poisson hors de l’eau… On leur a confié le rôle d’application de la loi en vertu de la HIPAA, mais ils n’ont pas reçu les ressources nécessaires pour soutenir ce rôle », a déclaré Mac McMillan, PDG de CynergisTek, une entreprise texane qui aide les organisations de soins de santé à améliorer leur la cyber-sécurité.

En raison de son budget restreint, le Bureau des droits civils compte moins d’enquêteurs que de nombreux services de police locaux, et ses enquêteurs doivent traiter plus d’une centaine de cas à la fois. Le bureau disposait d’un budget de 38 millions de dollars en 2022, soit le coût d’environ 20 appareils d’IRM pouvant coûter entre 1 et 3 millions de dollars chacun.

Un autre problème est que le bureau compte sur la coopération des victimes, les institutions ciblées par les pirates, pour fournir des preuves des crimes. Ces victimes peuvent parfois être réticentes à signaler les violations, car le HHS pourrait alors les accuser d’avoir enfreint la loi HIPAA et leur imposer des amendes qui s’ajoutent aux coûts découlant de la violation et aux rançons souvent exigées par les pirates.

Selon les circonstances, cela peut ressembler à blâmer la victime, d’autant plus que les pirates sont parfois financés ou dirigés par des gouvernements étrangers. Et cela a soulevé des questions quant à savoir si le gouvernement américain devrait faire plus pour protéger les organisations de santé.

Dans une lettre du 11 août adressée au secrétaire du HHS Xavier Becerra, le sénateur Angus King (I-Maine) et le représentant Mike Gallagher (R-Wis.), anciens coprésidents d’une commission sur la cybersécurité qui a examiné le danger, ont soulevé ce point, remettant en question le «manque de partage solide et opportun d’informations sur les menaces exploitables avec les partenaires de l’industrie» du gouvernement.

« Un marteau plus fort »

La portée de la menace est énorme et les conséquences des violations graves. Selon une enquête réalisée en 2021 par la Healthcare Information and Management Systems Society, plus des deux tiers des organisations de soins de santé ont eu un incident «significatif» au cours de l’année précédente – principalement des attaques de phishing ou de ransomware.

Ces épisodes entraînent des conséquences financières potentiellement importantes et peuvent menacer la vie des patients. Un rapport récent de la société de cybersécurité Cynerio et du Ponemon Institute, un centre de recherche sur la cybersécurité, a révélé qu’environ 1 cyberattaque sur 4 entraînait une augmentation de la mortalité en retardant les soins.

Les experts ont déclaré que le secteur des soins de santé est particulièrement vulnérable aux attaques, en partie en raison de sa transformation numérique et en partie en raison de sa vulnérabilité aux ransomwares. La perturbation des soins pourrait mettre en danger la vie des patients, ce qui peut obliger les organisations de soins de santé à débourser des rançons. Rien qu’en 2021, les pirates ont accédé aux dossiers de près de 50 millions de personnes, soulevant des problèmes de confidentialité et laissant de nombreuses personnes vulnérables à la fraude.

Le bureau du HHS s’attend à voir 53 000 cas au cours de l’exercice 2022. En 2020, il comptait 77 enquêteurs, dont certains sont affectés à d’autres choses, comme les violations des droits civils.

La responsable de l’administration Biden qui dirige le Bureau des droits civils, Melanie Fontes Rainer, a déclaré que ses enquêteurs doivent choisir leurs batailles car ils sont « sous des contraintes de ressources incroyables et incroyablement surmenés ».

Elle décrit le problème comme un problème de financement et l’administration Biden a demandé au Congrès d’accorder à l’agence une augmentation du budget d’environ 58% au cours de l’exercice 2023, à 60 millions de dollars, ce qui lui permettrait d’embaucher 37 nouveaux enquêteurs.

Mais les défenseurs des victimes veulent être sûrs que ces nouvelles recrues préféreraient les aider à prévenir de futures attaques plutôt que de les pénaliser pour ne pas avoir arrêté les précédentes.

« Si l’OCR cherche de l’argent qui protégera les hôpitaux… tant mieux. C’est le rôle du HHS – pas seulement de pénaliser la victime », a déclaré Greg Garcia, directeur exécutif du Conseil de coordination du secteur de la santé et de la santé publique, qui représente un certain nombre de secteurs des soins de santé ciblés par les pirates.

Pour la plupart, c’est ce que fait le bureau, mais des amendes sont toujours possibles et Fontes Rainer a déclaré que plus de ressources donneront plus d’application qui encouragera les organisations de soins de santé à respecter leurs obligations en vertu de la HIPAA. Tim Noonan, un haut fonctionnaire de Fontes Rainer, s’attend également à ce que cela renforce la capacité de l’agence à offrir des conseils et une assistance technique.

Une augmentation du budget « nous donnera un marteau plus fort », a déclaré Fontes Rainer. « L’application de la loi… arrête la conduite, mais est également un moyen de dissuasion pour les autres. »

En juillet, le HHS a infligé sa première amende majeure pour violation depuis l’entrée en fonction du président Joe Biden, 875 000 $ au Center for Health Services de l’Oklahoma State University. Les enquêteurs de l’agence ont découvert que le centre n’avait peut-être pas signalé une violation en temps opportun et qu’il n’avait pas non plus pris de mesures pour protéger les données.

Et Fontes Rainer fait pression pour augmenter les amendes suite à un revers juridique à la fin de l’administration Trump.

En janvier 2021, la Cour d’appel du 5e circuit a annulé une amende de 4,3 millions de dollars que le Bureau des droits civils avait imposée au MD Anderson Cancer Center de l’Université du Texas pour violation de données. Le tribunal l’a qualifié d’« arbitraire » et de « capricieux », donnant des munitions aux détracteurs des efforts d’application de la loi du bureau.

L’administration Trump a imposé plus de 50 millions de dollars d’amendes liées à des infractions sur quatre ans. Mais le directeur du Bureau des droits civils de l’époque, Roger Severino, a également décidé de réduire les amendes pour les entités qui n’ont pas été trouvées en « négligence volontaire » de la loi sur la confidentialité ou qui ont pris des mesures correctives, affirmant que le bureau avait mal interprété la loi. .

« Un flic au bord de la route »

Si le HHS devait s’éloigner davantage de l’application de la loi, cela pourrait entraîner davantage de négligence, ont déclaré certains experts.

Plus de la moitié de l’industrie des soins de santé est « terriblement sous-préparée » pour se protéger contre les cybermenaces, a déclaré Carter Groome, PDG de First Health Advisory, une société de conseil en gestion des risques liés aux soins de santé.

Dans les organisations disposant de peu de ressources, ce manque de préparation est compréhensible. Mais ce n’est pas dans les grands systèmes de santé.

« Nous connaissons un DSI dans un petit établissement rural… il est également responsable de… tout, du déneigement à la vérification du fonctionnement de la climatisation », a déclaré Tom Leary, vice-président des relations gouvernementales à la Healthcare Information and Management Systems Society. « Mais s’ils disposent de ressources suffisantes et qu’ils ne s’acquittent pas de leurs responsabilités, [enforcement] doit absolument faire partie du processus.

Le groupe de Leary a constaté que les budgets de cybersécurité sont souvent maigres.

Une application renforcée pourrait inciter les organisations de soins de santé à les augmenter.

D’autres sont plus sceptiques. « L’application du HHS est comme la neuvième sur la liste des raisons d’avoir un bon programme de sécurité », a déclaré Kirk Nahra, avocat spécialisé dans la protection de la vie privée au cabinet d’avocats WilmerHale, ajoutant qu’une application agressive pourrait entraver le partage de données que le gouvernement essaie autrement d’encourager. « Pourquoi devrais-je vous ouvrir l’accès … s’il y a un risque que cela puisse mal tourner et que je puisse me faire marteler. »

Il existe d’autres moyens par lesquels le gouvernement pourrait aider les organisations de soins de santé à améliorer leur cybersécurité. Les défenseurs de l’industrie soulignent deux domaines clés : l’argent pour de meilleurs systèmes de défense et le financement du développement de la main-d’œuvre.

John Riggi, conseiller national pour la cybersécurité et les risques à l’American Hospital Association, a appelé à un soutien fédéral dans la formation des travailleurs et des subventions pour aider les organisations à renforcer leurs efforts de sécurité. Et dans un témoignage au Congrès, Erik Decker, responsable de la sécurité de l’information de la chaîne hospitalière Intermountain Healthcare, a appelé les Centers for Medicare & Medicaid Services à envisager de développer des modèles de paiement pour «financer directement» les cyberprogrammes.

Contrairement à King et Gallagher, de nombreux acteurs de l’industrie ont déclaré être encouragés par les progrès en matière de partage d’informations. Le centre de coordination de la cybersécurité du secteur de la santé du HHS a aidé, ont-ils dit, et le programme et groupe de travail public-privé 405 (d) a reçu des notes élevées pour son travail d’élaboration de lignes directrices pour aider les organisations de soins de santé à se défendre. Le Congrès a appelé à la collaboration dans la section 405(d) de une loi de 2015.

Pourtant, King et Gallagher dans leur lettre à Becerra ont déclaré qu’ils craignaient que le partage d’informations ne soit pas assez robuste, compte tenu de la croissance des cyberattaques. Ils ont appelé à un briefing urgent du HHS et ont suggéré qu’ils seraient prêts à proposer un financement et des lois étendant les nouveaux pouvoirs de l’agence pour s’attaquer aux pirates.

Politico En2Fr

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.