211service.com
Le cabinet de votre médecin est vulnérable aux pirates, mais le Congrès pourrait changer cela
Les petits établissements de soins de santé comme les cabinets médicaux sont particulièrement vulnérables aux cyberattaques en raison des informations sensibles sur leurs réseaux et parce que beaucoup manquent de ressources pour se défendre. Le Congrès pourrait aider à changer cela en ajustant deux lois conçues pour empêcher les arrangements commerciaux inappropriés entre les médecins et les hôpitaux.
C'est selon un nouveau rapport par le Health Care Industry Cybersecurity Task Force, un groupe de 21 experts et administrateurs du secteur privé et du gouvernement en cybersécurité réunis par le Congrès dans le cadre de la loi historique sur la cybersécurité de 2015.
Entre autres choses, le rapport recommande que le Congrès envisage des modifications à la soi-disant loi sur l'orientation des médecins et à la loi anti-pots-de-vin, qui empêchent les médecins de recevoir tout type de paiement d'un hôpital ou d'une clinique en échange d'orientations de patients ou d'autres activités, comme les travaux de laboratoire, qui sont remboursés par les programmes fédéraux de soins de santé, notamment Medicare et Medicaid. Selon le groupe de travail, de nombreux hôpitaux aimeraient aider les petits partenaires commerciaux à acheter des outils de cybersécurité afin qu'ils ne deviennent pas un handicap, mais craignent que cela ne viole ces lois.
Les pirates informatiques ciblent généralement les établissements de santé, grâce aux informations précieuses sur leurs réseaux ainsi qu'à leurs pratiques de sécurité historiquement laxistes . Les installations du monde entier sont vulnérables aux attaques comme l'attaque du rançongiciel WannaCry qui s'est produite le mois dernier. L'année dernière, une attaque de ransomware a désactivé le système de dossiers médicaux d'un hôpital de Los Angeles et l'a forcé à transférer des patients ailleurs (voir Avec les infections hospitalières par ransomware, les patients sont à risque ).
Selon le groupe de travail, l'une des raisons du problème est que de nombreuses petites installations ne peuvent tout simplement pas se permettre de conserver une expertise interne en matière de cybersécurité et de maintenir l'infrastructure technologique nécessaire. Le groupe recommande vivement que le Congrès modifie la loi sur l'auto-référence des médecins et la loi anti-pots-de-vin pour en tenir compte en permettant un partage accru des technologies de cybersécurité entre les hôpitaux et leurs petits partenaires.
Si le Congrès n'agit pas, le ministère de la Santé et des Services sociaux pourrait poursuivre de nouvelles réglementations qui feraient des exceptions à ces lois. En fait, un modèle existe déjà pour cela. Les exceptions réglementaires et les dispositions de la sphère de sécurité autorisent les hôpitaux et les cliniques à faire don de la technologie des dossiers de santé électroniques aux cabinets de médecins et à d'autres partenaires commerciaux.
Ces exceptions existent parce que lorsque les hôpitaux ont commencé à adopter les dossiers électroniques au milieu des années 2000, de nombreux médecins qui envoyaient des patients dans ces hôpitaux n'avaient pas les moyens d'acheter une technologie interopérable pour leurs cabinets. Tout comme aujourd'hui avec la cybersécurité, les hôpitaux voulaient pouvoir acheter cette technologie pour eux, dit Bernadette Brocoli , avocat en soins de santé au cabinet d'avocats McDermott Will & Emery.
Ouvrir la voie aux hôpitaux pour qu'ils achètent des technologies de cybersécurité pour les cabinets médicaux sans risque de problèmes juridiques contribuerait à réduire le risque global, mais ce n'est qu'une pièce d'un puzzle compliqué que les décideurs doivent résoudre afin de résoudre véritablement les problèmes de cybersécurité des soins de santé. Bien que de nombreuses règles régissant la cybersécurité dans les soins de santé soient bien intentionnées et efficaces individuellement, écrivent les auteurs du rapport, elles peuvent imposer un fardeau juridique et technique important aux organisations de soins de santé.