Professional Finance Company (PFC), une société de gestion de comptes clients, a informé en mai les prestataires de soins de santé que les données de 1,9 million de leurs patients avaient été exposées lors d'une attaque par ransomware en février. Selon PFC, les informations de santé protégées (PHI) et les informations personnelles identifiables (PII) compromises dans l'attaque auraient pu inclure des noms, des informations de contact, des soldes de comptes clients, des informations de paiement de comptes, des dates de naissance, des numéros de sécurité sociale, des informations d'assurance maladie et des traitements médicaux.
Pourtant, la violation de PFC n'est que le troisième plus grand événement de sécurité concernant les associés commerciaux du secteur des soins de santé signalé jusqu'à présent en 2022, avec l'incident du Shields Health Care Group qui a touché 2 millions de patients, et la violation de Eye Care Leaders qui a eu un impact sur plus de 2,9 millions de patients (et qui continue de croître).
Compte tenu de leur ampleur et de leur impact croissants, comment les professionnels de la sécurité et de la gestion des risques dans le secteur des soins de santé peuvent-ils atténuer l'impact de telles violations commises par des tiers?
Les réseaux de renseignements partagés sont des bibliothèques de profils de risques de fournisseurs à la demande qui peuvent être "consultés" lorsque vous avez besoin d'évaluer un associé. Les profils de risque sont basés sur un contenu standard du secteur et sont mis à jour automatiquement et régulièrement, avec des informations continues sur cyber, les affaires, les finances et la réputation ajoutées pour le contexte et pour combler les lacunes entre les évaluations annuelles.
Cependant, la valeur d'un réseau d'intelligence partagée va au-delà de la simple exploitation de profils de risque déjà remplis pour évaluer le risque d'un associé. Les réseaux offrent un avantage supplémentaire en matière d'analyse communautaire, à savoir la visualisation des tendances générales en matière de risque dans un secteur d'activité, à l'aide de données provenant de plusieurs fournisseurs du réseau.
Par exemple, si le risque le plus élevé parmi les fournisseurs d'un réseau est la faiblesse de la politique de gestion des mots de passe, vous pouvez concentrer vos efforts de gestion des risques sur l'hygiène des mots de passe des partenaires commerciaux afin de réduire de manière proactive la probabilité que les mots de passe puissent être exploités par un pirate pour accéder à vos données gérées par le partenaire commercial. Vous pouvez ensuite valider les contrôles de gestion des mots de passe de l'associé en utilisant la surveillance continue intégrée de cyber pour déterminer si ses mots de passe sont en vente sur le Dark Web.
Prevalent gère le Healthcare Vendor Network (HVN), la solution exclusive du Health Information Sharing and Analysis Center (H-ISAC) pour les évaluations de risques partagées pour les tiers, basées sur l'évaluation de la sécurité, de la confidentialité des données et des risques standard de l'H-ISAC. Des centaines d'entreprises s'appuient chaque jour sur des milliers de profils de risque de fournisseurs complétés dans le HVN pour gérer le risque lié à leurs associés commerciaux.
Vos fournisseurs sécurisent-ils suffisamment les données personnelles ?
Découvrez les meilleures pratiques pour identifier, gérer et réduire de manière proactive les risques liés aux associés commerciaux.
Si un incident de cybersécurité touchait un associé, seriez-vous en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer un plan de réponse aux incidents ? Le temps est un facteur essentiel dans la réponse aux incidents, donc être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des partenaires commerciaux. Un plan de réponse aux incidents programmé par un tiers pourrait inclure :
Le service de réponse aux incidents impliquant des tiers (Prevalent ) vous permet d'identifier rapidement et d'atténuer l'impact des incidents de sécurité impliquant des associés commerciaux ( cyber) en gérant de manière centralisée les tiers, en automatisant les évaluations d'événements, en notant les risques identifiés et en accédant aux conseils de remédiation.
L'HIPAA exige que les organismes de santé s'assurent que les associés commerciaux et les autres tiers disposent des contrôles de sécurité et de confidentialité nécessaires pour empêcher tout accès indésirable ayant un impact sur la confidentialité, l'intégrité ou la disponibilité des RPS. Pour y parvenir, les entreprises doivent procéder à une évaluation approfondie des risques liés aux fournisseurs avant l'audit. Même si votre organisation n'est pas confrontée à un incident de sécurité impliquant un tiers, les auditeurs finiront par évaluer votre programme de gestion des risques liés aux associés d'affaires.
Une solution tierce de gestion des risques peut contribuer à simplifier le processus de collecte et d'analyse des risques liés aux partenaires commerciaux :
N'oubliez pas de télécharger la liste de contrôle de la conformité HIPAA pour une analyse complète de la manière dont la plateforme de gestion des risques des tiersPrevalent peut contribuer à simplifier les audits HIPAA.
Les incidents de sécurité des associés commerciaux sont inévitables. Cependant, vous pouvez être plus proactif en partageant les informations sur les risques avec vos pairs, en préparant un plan de réponse aux incidents et en vous préparant à l'inévitable audit. Demandez une démonstration dès aujourd'hui pour découvrir comment notre solution approuvée par le H-ISAC peut vous aider.
Liste de contrôle de la conformité des tiers à l'HIPAA
Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024