Warner interroge le fournisseur d'imagerie sur les pratiques cybernétiques après violation – Bien choisir son serveur d impression
Le sénateur Mark Warner demande des réponses sur les pratiques de sécurité d’une entreprise de soins de santé après une violation susceptible d’exposer les données d’un million de patients.
Lundi, Warner (D-Va.) Vice-président du Comité du renseignement du Sénat et co-fondateur du Sénat Cybersecurity Caucus, a envoyé une lettre à Andrei Soran, PDG de TridentUSA, demandant des informations sur les pratiques de sécurité du fournisseur d'imagerie médicale et ses respect des règles de confidentialité et de sécurité HIPAA.
L’un des affiliés de Trident USA Health Services – Mobile XUSA, un fournisseur d’imagerie dont les techniciens en rayons X et les technologues en échographie se rendent dans plus de 7 000 installations à travers le pays – a été exposé après qu’un serveur non protégé en ligne a exposé les informations de santé protégées des patients.
Le 10 février, TridentUSA Health Services et ses sociétés affiliées ont demandé la réorganisation du chapitre 11. Le prêteur principal de la société a fourni 50 millions de dollars pour maintenir les opérations sans interruption. Dans une lettre à ses partenaires, l'organisation a indiqué qu'elle espérait sortir de la restructuration avec un bilan solide et la capacité d'investir dans l'entreprise, sans interruption, réduction ou modification du service, tout en ajoutant du personnel et des technologies pour améliorer les services.
La lettre de Warner indique: «Il semble que les informations détenues par MobileXUSA aient été rendues accessibles en raison de pratiques de cybersécurité bâclées, car aucune vulnérabilité logicielle n’était impliquée et aucun piratage explicite n’était requis. Bien que HIPAA énonce certaines directives pour le stockage et le transfert sécurisés des données, il n'est pas toujours clair qui est responsable de la sécurisation des données et de l'utilisation de contrôles appropriés. ”
«Cependant, les entreprises comme la vôtre ont la responsabilité de contrôler et de sécuriser les données médicales sensibles, de conserver une trace d'audit des images médicales et de veiller à ce que les informations ne soient pas accessibles au public», a déclaré Warner.
Bien que TridentUSA Health Services puisse être l'exemple cité par Warner en tant que fournisseur de cyber-gestion médiocre, la société est loin d'être seule.
Dans sa lettre à Soran de TridentUSA, Warner écrivait: «Selon des rapports récents, les chercheurs ont découvert 13,7 millions de jeux de données et 303,1 millions d’images dans des systèmes de stockage d’images médicales librement accessibles en ligne, sans authentification requise pour accéder aux images ou les télécharger. Cela a laissé les scans de millions d'Américains exposés sur Internet, non pas à cause d'une violation, mais simplement parce qu'ils étaient stockés sur 187 serveurs d'archivage et de communication d'images non protégés, y compris le vôtre. De plus, selon les recherches, votre serveur aurait affiché les noms de plus d'un million de patients. "
Warner a donc demandé à Soran de répondre à sept questions concernant la protection informatique de la société.
Ils comprenaient des informations sur les audits et les outils de surveillance, les vulnérabilités des serveurs PAC, les contrôles de gestion des identités et des accès, la configuration requise des VPN ou SSL pour communiquer avec PACS, la fréquence des analyses de vulnérabilités et des audits conformes à la norme HIPAA, les pratiques de cryptage des serveurs et le statut de sécurité interne de l'entreprise. équipe ou sous-traite la sécurité.
«Il est essentiel que la vie privée de la personne, y compris ses informations personnelles sur la santé, soit correctement protégée», a conclu Warner, demandant une réponse avant le 9 octobre.
Les services de santé TridentUSA ont publié la déclaration suivante en réponse à la demande de Warner:
"ProPublica nous a récemment informés de l’existence de failles de sécurité potentielles dans notre système d’imagerie médicale (DICOM PACS). Comme ProPublica l’a noté, nous avons rapidement pris des mesures pour atténuer ces vulnérabilités. Nous avons également immédiatement lancé une enquête judiciaire approfondie afin de déterminer si Nous sommes profondément attachés à la sécurité des informations sur les patients et partageons l'objectif du sénateur Warner de lutter contre les menaces à la cybersécurité dans les soins de santé. Nous espérons pouvoir y répondre d'ici le 9 octobre. . "
window.fbAsyncInit = function() FB.init(
appId : '1194605807220509',
xfbml : true, version : 'v2.9' ); ;
(function(d, s, id) var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/en_US/sdk.js"; fjs.parentNode.insertBefore(js, fjs); (document, 'script', 'facebook-jssdk'));
Commentaires
Laisser un commentaire