Non classé

Atténuer les risques associés aux initiés malveillants – Bien monter son serveur

Par Titanfall , le 4 septembre 2019 - 9 minutes de lecture

Fraude et cybercriminalité
,
gouvernance
,
Menace intérieure

La HIPAA Enforcement Agency met en garde contre le fait d'ignorer la menace

Marianne Kolbasuk McGee (HealthInfoSec) •
4 septembre 2019

Atténuer les risques associés aux initiés malveillants

Alors que les pirates informatiques occupent actuellement une place de choix dans la collecte fédérale de violations majeures de données sur la santé, la grave menace d'initiés malveillants ne doit pas être sous-estimée ni sous-estimée, avertissent les régulateurs et les experts en sécurité.

Voir aussi: 10 façons incroyables de se faire pirater par courrier électronique et de mettre fin aux méchants

Les organisations de soins de santé doivent atténuer de manière proactive les menaces d'initiés malveillants, a rappelé récemment le Bureau des droits civils du ministère de la Santé et des Services sociaux aux entités concernées et aux partenaires commerciaux.

"Des utilisateurs malveillants peuvent réussir à nuire à une organisation en divulguant ou en détruisant délibérément des informations sensibles", écrit OCR, qui applique HIPAA. "Les dommages peuvent prendre différentes formes, notamment la perte de données, la réputation de l'organisation, la responsabilité civile et les poursuites éventuelles au niveau fédéral et des États. En plus des dommages organisationnels, les personnes touchées par une violation de données peuvent courir le risque d'usurpation d'identité, de fraude ou de fraude. même chantage. "

Pirate été

Le rappel par l'OCR des menaces internes malveillantes intervient alors que l'agence a traité cet été une avalanche de rapports d'infractions impliquant principalement des incidents de piratage de masse. Il s’agit notamment d’attaques par ransomware et d’autres attaques en ligne, notamment une violation de données par l’American Medical Collection Agency, qui a jusqu’à présent touché plus de deux douzaines de clients et 25 millions de personnes.

"Les organisations sont confrontées à de nombreuses menaces et les pirates informatiques malveillants tendent à faire les gros titres de l'actualité", a déclaré l'avocat de la protection de la vie privée Adam Greene du cabinet d'avocats Davis Wright Tremaine. "En conséquence, il est facile pour les entreprises d'utiliser des ressources insuffisantes pour se protéger des menaces internes, qu'elles soient malveillantes ou simplement dues à la négligence."

Jon Moore, chef des risques chez Clearwater, consultant en confidentialité et en sécurité, a déclaré que les organisations du secteur de la santé risquent de souffrir de plus d'infractions malveillantes que le public ne le pense.

"Premièrement, ces pauses internes risquent moins d'être détectées qu'une cyber-attaque à l'extérieur", explique-t-il. Deuxièmement, à l'instar des employés de banque, les entreprises vont probablement essayer de garder ces violations silencieuses. Troisièmement, ces violations ne sont généralement pas aussi sensationnelles que les cyberattaques de pirates informatiques et ne reçoivent pas de notification des médias. "

Quel est le motif?

Les crimes qui touchent des dizaines de millions de personnes impliquent généralement des pirates informatiques externes, note Greene. "En conséquence, le public est moins au courant du grand nombre d'infractions malveillantes commises par des initiés. Bien que celles-ci touchent souvent moins de personnes, elles sont souvent plus exposées, car les initiés ont souvent déjà commencé à utiliser ou à vendre les informations compromises."

Kate Borten, présidente du cabinet de conseil en confidentialité et en sécurité The Marblehead Group, note que les menaces internes sont "un vieux problème ancien" qui peuvent se perdre dans le jeu lorsque l’accent est mis sur le piratage.

"Tout environnement dans lequel de nombreux initiés ont accès à de grandes quantités d'informations confidentielles – y compris des professionnels de la santé et des régimes, ainsi que les autorités fiscales, par exemple – est propice aux intrusions d'initiés", note-t-elle. "Je doute que le public ait la moindre idée de la vulnérabilité de leurs données, mais franchement, il n'y a pas grand chose que les patients puissent faire à ce sujet en cette ère de dossiers de santé électroniques."

La plupart des fouineurs d'initiés sont motivés par la curiosité et non par une intention malveillante, déclare Borten. "Bien que HIPAA ait tiré parti de l'espionnage aléatoire, ce sera toujours un problème car elle est dictée par le comportement humain", ajoute-t-elle.

Une activité d'initié malveillante "est motivée par la cupidité, un besoin d'argent – par exemple, ils ont une dette substantielle – ou insatisfaite, par exemple en étant envoyée à un emploi ou récemment victime d'une diminution des efforts", a déclaré Greene.

Violations cachées?

Parce que les coupures internes exposent généralement beaucoup moins d'enregistrements que les événements de piratage, bon nombre d'entre elles ne sont pas publiées sur le site Web HIPAA Breach Reporting Tool d'OCR, qui répertorie les événements affectant 500 personnes ou plus.

Mais certains cambriolages malveillants font les gros titres, car ils deviennent des affaires pénales.

En juillet, par exemple, un ancien employé d'un fournisseur de traitement de la toxicomanie dans le Connecticut a été condamné par une cour fédérale à une peine de sept mois d'emprisonnement et à une indemnité de plus de 1,3 million de dollars pour sa part dans une affaire de vol d'identité et de complot dans Medicaid impliquant: 150 objets volés (voir Affaire de fraude Medicaid d'initié: un rappel important).

Le secteur des soins est une cible tentante pour les initiés malveillants cherchant à divulguer ou à voler les informations sensibles d'une organisation, avertit OCR.

Et tous les cambriolages malveillants ne concernent pas un petit nombre de dossiers de patients. Par exemple, en 2017, OCR avait conclu un accord de 5,5 millions de dollars avec le système de santé Memorial, basé en Floride, qui découlait d'un accès inapproprié de 12 employés à des informations sur la santé de plus de 105 000 patients qui avaient duré plus d'un an à la pénalité pour fraude fiscale.

"La détection et la prévention des fuites de données initiées par des utilisateurs autorisés malveillants constituent un défi de taille pour les professionnels de la sécurité d'aujourd'hui", écrit OCR. "Identifier le plus rapidement possible une activité potentiellement malveillante est la clé pour prévenir ou atténuer l'impact de cette activité."

Étapes à suivre

Les organisations de santé doivent prendre en compte l’interaction d’un initié avec les systèmes d’information pour identifier les zones de risque potentiel, indique OCR. Selon OCR, pour déterminer les contrôles d’accès appropriés, les organisations doivent examiner attentivement la manière dont les données confidentielles des patients résident et déterminer qui a réellement besoin d’accéder à ces données.

OCR suggère que l'un des facteurs à prendre en compte consiste à déterminer si les tâches de travail d'un employé nécessitent la capacité d'écrire, de télécharger ou de modifier des données, par opposition à un accès en lecture seule. Le bureau doit également déterminer si l'utilisateur doit accéder aux données d'un ordinateur portable, d'un smartphone ou de périphériques de stockage mobiles, tels que des clés USB. "De tels dispositifs sont plus difficiles à protéger et à contrôler, en particulier s’il existe des appareils" personnels ", appartenant à l’utilisateur," souligne OCR.

"Une organisation doit envisager de limiter l'utilisation inutile d'appareils mobiles et de mettre en place des contrôles de sécurité pour empêcher la copie de données sensibles sur des appareils externes non autorisés", conseille OCR. "Si les utilisateurs accèdent à des périphériques mobiles ou à des périphériques de stockage, l'organisation doit mettre en œuvre des contrôles de sécurité appropriés pour sécuriser les données lors de l'utilisation de tels périphériques."

Le transfert vers l'informatique en nuage, l'utilisation croissante d'appareils mobiles et l'utilisation de la technologie de l'Internet des objets peuvent entraver la capacité d'une organisation à détecter un comportement anormal d'un utilisateur ou des indicateurs d'abus, écrit l'OCR.

"Pour minimiser ce risque, une organisation peut utiliser des mesures de sécurité qui détectent les activités suspectes des utilisateurs, telles que le trafic sur un site non autorisé ou le téléchargement de données sur un périphérique externe, tel qu'une clé USB", déclare OCR.

"La maintenance des contrôles d'audit, tels que les journaux des événements système et des applications, ainsi que la révision périodique des journaux d'audit, des rapports d'accès et des rapports d'incidents de sécurité sont des mesures de sécurité importantes requises par la règle de sécurité HIPAA, qui peuvent aider à détecter et à identifier des activités suspectes ou des comportements non intentionnels.

Être proactif

Borten donne d'autres conseils: "Le plus important est peut-être une solide formation et une sensibilisation à la main-d'œuvre – ainsi que des sanctions claires et appropriées."

Elle insiste sur la nécessité de "répéter le message explicite" ne pas espionner "souvent et de différentes manières. Lorsque des initiés espionnent, assurez-vous qu'ils ne reçoivent pas un léger avertissement lorsqu'ils n'invoquent aucune intention malveillante. au cours du processus disciplinaire, l’évaluation de l’impact potentiel sur le patient est primordiale. "

Pour lutter contre les cambriolages malveillants, Clearwater Moore a déclaré: "chaque organisation doit comprendre son propre profil de risque basé sur son impact, sur les vulnérabilités contenues dans son portefeuille unique d’informations et sur toute menace raisonnable pouvant exploiter ces vulnérabilités, y compris des menaces internes. .

"C'est le profil de risque réel de l'organisation – ainsi que ses objectifs commerciaux, ses ressources et ses exigences de conformité – qui guidera la stratégie et le programme de cybersécurité. À long terme, il s'agit du moyen le plus efficace et rentable pour une organisation de gérer ses cyber-risques et de protéger ses patients, données et revenus des patients. "

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.