Pourquoi la BMR et les soins de santé vont de pair aux USA
Aux États-Unis, la santé est l'une des plus grandes industries du secteur privé, représentant 13 % de la main-d'œuvre américaine totale¹. Il est compréhensible que les professionnels de la santé soient très préoccupés par la cybersécurité et, compte tenu de l'évolution constante de l'IdO, la récupération sur machine nue (BMR) peut jouer un rôle important dans l'atténuation des risques.
Les experts de l'industrie prévoient que dans tous les services mondiaux, les organisations, des PME aux grandes sociétés, seront ciblées et que ce risque est bien plus grand dans le secteur des soins de santé en raison des données précieuses et du matériel sensible au temps. Les cybercriminels les ciblent pour vendre leurs données sur le marché noir à des fins lucratives ou pour générer des revenus en versant une rançon directement à l'entreprise qui a été compromise.
Les organes directeurs, tels que le HHS, ont mis en place des politiques et des procédures afin de sensibiliser et d'aider fondamentalement les méthodes de prévention de ce type d'événements au sein de l'industrie. Leur objectif est d'amener les entreprises à réfléchir aux risques et de veiller à ce qu'un plan de reprise après sinistre soit en place en cas d'attaque sans précédent.
La loi sur la portabilité et la responsabilité en matière d'assurance maladie de 1996 (HIPAA), loi publique 104-191, a été introduite par le ministère de la santé et des services sociaux (HHS) et a établi la norme industrielle nationale en matière de bonnes pratiques concernant les soins de santé électroniques et la sécurité.
" Dans le même temps, le Congrès a reconnu que les progrès de la technologie électronique pouvaient éroder la confidentialité des informations de santé. Par conséquent, le Congrès a incorporé dans l'HIPAA des dispositions qui rendent obligatoire l'adoption de mesures fédérales de protection de la vie privée pour les informations de santé identifiables individuellement.²
Nous nous pencherons ici directement sur la règle de sécurité de l'HIPPA de février 2003, qui concerne la protection des informations sanitaires protégées électroniques (e-PHI).
Conformité des soins de santé
"La règle de sécurité exige des entités couvertes qu'elles maintiennent des mesures de protection administratives, techniques et physiques raisonnables et appropriées pour protéger les données à caractère personnel électroniques.
Plus précisément, les entités couvertes doivent :
- Assurer la confidentialité, l'intégrité et la disponibilité de tous les e-PHI qu'ils créent, reçoivent, maintiennent ou transmettent ;
- Identifier et protéger contre les menaces raisonnablement anticipées pour la sécurité ou l'intégrité de l'information ;
- protéger contre les utilisations ou les divulgations inadmissibles raisonnablement prévues ; et
- Veiller au respect des règles par leur personnel...
... une entité couverte décide des mesures de sécurité à utiliser, la règle ne dicte pas ces mesures mais exige que l'entité couverte les prenne en considération :
- Sa taille, sa complexité et ses capacités,
- Son infrastructure technique, matérielle et logicielle,
- Les coûts des mesures de sécurité, et
- La probabilité et l'impact possible des risques potentiels pour les e-PHI.
- Les entités couvertes doivent revoir et modifier leurs mesures de sécurité afin de continuer à protéger les données à caractère personnel électroniques dans un environnement en mutation.
Avec les menaces croissantes de la cybercriminalité, cette dernière n'a jamais été aussi impérative. L'importance de cette norme est de maintenir la protection des données ainsi que le bien-être des patients. Les données étant essentielles à la prise en charge des patients et à l'évaluation des diagnostics, les systèmes informatiques doivent être pleinement opérationnels 24 heures sur 24, 7 jours sur 7, 365 jours par an. Alors que l'adoption des dossiers médicaux électroniques devient la norme, l'évaluation des patients est un élément essentiel du système ; sans système opérationnel, les soins aux patients sont sérieusement compromis.
La Commission mixte
La certification de la Commission conjointe est une autre accréditation que les organisations de soins de santé adoptent pour montrer qu'elles sont en phase avec des soins sûrs et efficaces de la plus haute qualité. Les règles et normes à respecter sont conformes à la règle de sécurité de l'HIPAA et constituent une autre validation mettant en évidence les bonnes pratiques de l'organisation.
Quels sont les risques ?
Il est important que ces normes soient respectées, non seulement parce que les violations de l'HIPAA peuvent entraîner des amendes substantielles allant de 100 à 1,5 million de dollars pour un cabinet.4 Mais les prestataires de soins de santé peuvent également être exposés à des sanctions ou à la perte de leur licence. En outre, d'un point de vue moral, vous fourniriez des soins inadéquats aux patients.
Une autre façon d'appréhender les risques est de les aborder sous l'angle de l'impact physique. Pouvez-vous vous permettre d'avoir des temps d'arrêt ? Quelles sont les conséquences, d'un point de vue opérationnel, de la perte de sécurité et de systèmes informatiques ? Ce sont les vraies questions que vous devez vous poser, au grand dam d'un hôpital de Los Angeles qui a été mis hors ligne pendant plus d'une semaine en raison d'une attaque par ransomware.
Il s'est avéré que le montant de la rançon était en fait le moindre des deux maux, puisque l'hôpital a payé le montant pour restaurer son réseau et ses opérations normales après une semaine de récupération infructueuse. L'hôpital a subi un manque à gagner pendant la violation de sécurité et a dû transférer des patients vers d'autres hôpitaux alors qu'il peinait à accéder aux données des patients et à faire fonctionner les équipements de base5.
Bien que, comme toutes les cyberattaques, celle-ci ait été déclenchée soudainement, si l'hôpital avait mis en place une sauvegarde ou un plan de secours, il n'aurait pas eu à payer la rançon et les opérations auraient pu être rétablies avec un temps d'arrêt minimal et peu de perturbations, en fonction des RPO (Recovery Point Objectives) et des RTO (Recovery Time Objects) définis. C'est pourquoi, pour être conforme à l'HIPAA, vous êtes tenu de mettre en place un plan de reprise après sinistre, défini dans la norme HIPAA relative aux plans d'urgence, dans la section des garanties administratives de la règle de sécurité HIPAA.
Plan DR HIPAA
" Un plan de reprise après sinistre HIPAA est un document qui précise les ressources, les actions, le personnel et les données nécessaires pour protéger et rétablir les informations relatives aux soins de santé en cas d'incendie, de vandalisme, de catastrophe naturelle ou de défaillance du système6 ".
Les organisations conformes à l'HIPAA doivent définir les mesures qu'elles prendront dans de tels scénarios et être en mesure de les mettre en place si nécessaire. Cela implique des détails sur l'utilisation de toute infrastructure matérielle et logicielle, le personnel en charge des opérations, la manière dont les données sensibles en direct peuvent être transférées sans enfreindre les règles de confidentialité et de sécurité de l'HIPAA et la manière dont ces données peuvent ensuite être restaurées en cas de défaillance.
Il n'y a pas de méthodes strictes quant à la façon de procéder, mais les directives doivent être respectées et, avec des experts et des guides utiles facilement disponibles, un plan de continuité des affaires devrait être une priorité absolue. C'est là que Cristie et BMR interviennent.
Solutions de sauvegarde et de DRaaS
La mise en place d'un plan de sauvegarde et de DR n'a jamais été aussi impérative. Nous comprenons déjà l'importance de ces plans pour la prévention et la récupération. Nous savons également que le secteur de la santé a directement besoin de s'en plaindre. Alors, à quel point est-il facile de les mettre en œuvre ?
Les processus de récupération simples nécessitent une expertise technique minimale. Nous sommes conscients de l'importance cruciale de la gestion des RPO et RTO pour éviter une diminution des soins ou, en fin de compte, la perte de vies humaines. C'est pourquoi, avec nos solutions, il vous suffit de régler et d'oublier, ce qui atténue les risques.
Récupération de la machine nue
En tant qu'experts en BMR, nos solutions vous offrent une réponse fiable, éprouvée et rapide pour garantir la récupération complète de vos systèmes après un sinistre. Les restaurations peuvent être entièrement automatisées et prennent généralement moins de 10 minutes à exécuter. Cristie Recover fournit des récupérations instantanées et entièrement intégrées pour les environnements physiques, hyperviseurs et cloud.
Récupérez les systèmes, les applications et les données directement à partir des sauvegardes effectuées par les principaux fournisseurs de logiciels, sans avoir à créer ou à gérer des sauvegardes supplémentaires.
Récupérer à partir de sauvegardes créées par :
Prouvez que votre système est récupérable en cas de défaillance avec Recovery Simulator en automatisant les tests essentiels de reprise après sinistre. Programmez et effectuez des simulations de récupération sur une autre machine avec un rapport pour valider la fiabilité de la récupération ; essentiel pour la conformité HIPAA.
"En utilisant Cristie, notre institution économise beaucoup d'argent sur une solution DR. Auparavant, nous n'étions pas en mesure de restaurer un système de récupération sur métal nu ; c'était un processus très long et pénible et la plupart du temps, il n'aboutissait pas. Parfois, cela fonctionnait, mais cela prenait du temps car il fallait toujours manipuler le système pour qu'il démarre avec succès.
"Maintenant, je suis en mesure de restaurer le serveur en 1 à 2 heures selon la taille. Normalement, une restauration de 60 GIG d'un système d'exploitation prend environ 1 heure. Dans 99,8 % des cas, je suis en mesure de récupérer un serveur sans aucun problème. Je peux convertir un serveur physique en serveur virtuel ou vice versa sans installer de système d'exploitation ou d'application, ce qui est un gros avantage. Je peux également restaurer sur n'importe quel matériel, ce qui est un autre point positif.
"De plus, Cristie dispose de l'une des meilleures équipes d'assistance que j'ai jamais vues au cours de ma carrière informatique de plus de 30 ans. J'ai toujours une très bonne expérience avec un excellent support et un personnel très compétent, avec un temps de réponse exceptionnel. Je n'ai pas à attendre des jours et des jours pour obtenir ce service, et je ne subis donc aucun inconvénient ni aucune perturbation supplémentaire pour notre entreprise ou nos clients."
Parul Patel, administrateur de la sauvegarde et de la récupération des données
Réseau de soins de santé Einstein
Veille à chaud
Avec CloneManager, répliquez et synchronisez régulièrement les systèmes critiques pour la reprise après sinistre et la continuité des activités. Cette solution vous permet de créer des copies parfaites de charges de travail ou de systèmes actifs, puis de planifier des synchronisations, définies en fonction de vos besoins, afin de les maintenir à jour à des fins de reprise après sinistre. Les systèmes sont entièrement répliqués - y compris le système d'exploitation, les applications, les données et même la configuration de l'utilisateur - et copiés dans l'environnement physique, virtuel ou en nuage cible ; essentiel pour la conformité HIPAA.
Simuler les processus de récupération pour garantir la conformité avec les normes HIPPA et The Joint Commission.
Prochaines étapes
Pour en savoir plus sur nos solutions BMR, visitez notre site web solutions de récupérationpour la réplication de serveurs, voir Veille à chaud et pour la migration des serveurs, voir Déplacer.
Vous pouvez également contacter Jim Canavan, directeur des ventes (Amérique du Nord) et notre expert en soins de santé informatiques, à l'adresse james.canavan@cristie.com.
Jim participera aux événements sectoriels suivants, alors pourquoi ne pas prendre rendez-vous avec lui autour d'un café pour discuter de vos besoins en BMR ; il est plus qu'heureux de vous aider ou de vous guider dans votre plan de RD.
HiMSS 17, 19 - 23 février, Orlando, FL
Sommet HIPAA, 29 - 31 mars, Washington, DC
Vous pouvez également Téléchargez notre introduction à la santé, BMR ici pour une référence rapide.
Télécharger le livre blanc 'Pourquoi la BMR et les soins de santé vont ensemble' en pdf..
Ressources utiles et informations complémentaires
Pour des informations utiles sur l'HIPAA et le secteur des soins de santé aux États-Unis, voir ;
¹ https://www.bls.gov/emp/ep_table_201.htm
² https://www.hhs.gov/hipaa/for-professionals/index.html
³ https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
4 https://hipaapoliciesandprocedures.com/f-a-q/hipaa-fines-and-penalties
6 https://searchhealthit.techtarget.com/definition/HIPAA-disaster-recovery-plan
