Étant donné que les appareils mobiles sont généralement des points faibles en matière de sécurité pour les organisations, les codes QR conçus pour faciliter des processus tels que les transferts de fichiers d’images peuvent rendre vulnérables les données de santé protégées.
Les mauvais acteurs sophistiqués peuvent remplacer un véritable code QR par un clone qui redirige les utilisateurs vers un site Web similaire où les données des patients et personnelles peuvent être interceptées. Ils peuvent également utiliser le courrier électronique pour intégrer leurs codes QR frauduleux dans des e-mails d’apparence légitime, également appelés “quishing”.
Nouvelles de l’informatique de la santé a demandé à Sharat Potharaju, co-fondatrice et PDG de Beaconstac, qui propose une plateforme de code QR, d’expliquer pourquoi les codes-barres matriciels attirent les cybercriminels et comment les organisations de soins de santé peuvent protéger les données des patients contre la compromission d’un code QR.
Q : Que sont les exploits de code QR et en quoi les systèmes informatiques de santé sont-ils vulnérables ?
UN. Les “escroqueries par scan” sont devenues un phénomène presque quotidien, augmentant de plus de sept fois en 2022.
L’hameçonnage par code QR, en particulier, expose les patients et les organismes de santé au risque d’usurpation d’identité, de violation de données et d’infestations de logiciels malveillants. Les cybercriminels incitent les patients ou les membres du personnel à scanner un code QR, qui les envoie vers un site Web qui semble légitime et les invite à partager des données personnelles ou des informations de connexion.
Les pirates volent des informations sensibles, telles que les antécédents médicaux, les informations d’assurance, les numéros de sécurité sociale ou d’autres données d’identification personnelle, pour accéder aux portails des patients, aux réseaux de fournisseurs et à d’autres services numériques.
Parce qu’elles ont un marché sur le dark web, les données des patients sont une cible très tentante. En fait, un dossier de patient se vend plus de 1 000 $ sur le marché noir, selon son niveau de détail. Ce montant en dollars est près de 50 fois plus élevé que les relevés de carte de crédit standard.
Q : Comment HIT peut-il bloquer de tels exploits ? Les organismes de santé peuvent-ils encore utiliser les codes QR ?
UN. Les codes QR aident les organisations à améliorer la communication, la transparence et l’information entre les prestataires, les soignants et les patients.
Pour sécuriser cette technologie, les établissements de santé doivent tirer parti d’un générateur de code QR avec des fonctionnalités intégrées telles que l’authentification unique, l’authentification multifacteur, la gestion personnalisée des domaines et des utilisateurs.
Le deuxième élément critique est une plate-forme de code QR avec des outils de gestion des incidents et des mesures de sécurité soumises à des audits complets réguliers.
Cependant, l’éducation aide également à bloquer les exploits de code QR. Les établissements de santé doivent former leurs employés et leurs patients à l’utilisation sécurisée des codes QR, notamment à la manière d’identifier et d’éviter les escroqueries par hameçonnage, les logiciels malveillants et autres menaces de sécurité.
Q : Comment permettons-nous aux patients et aux autres de se sentir en sécurité en utilisant les codes QR ?
UN. Encouragez les patients à vérifier l’authenticité des codes QR qu’ils scannent avant de partager des informations personnelles.
De nombreuses personnes ouvrent un lien juste après avoir scanné un code QR sans même vérifier le lien, ce qui présente des risques pour la confidentialité et la sécurité. Les patients doivent vérifier le site Web ou l’URL de l’application liée au code QR ou utiliser une application de scanner de code QR réputée pour confirmer la fiabilité de la destination.
Les patients ne doivent également scanner que les codes QR provenant de sources vérifiées, telles que le site Web, l’application ou les documents imprimés de leur fournisseur de soins de santé. Si un code QR semble suspect ou provient d’une source inconnue, les patients ne doivent pas le scanner.
De plus, les patients doivent faire preuve de prudence lorsqu’ils partagent des données personnelles – comme des antécédents médicaux ou des informations d’assurance – via un code QR. Ils ne doivent fournir ces informations qu’à des prestataires de soins de santé de confiance fournissant la preuve que les informations sont transmises de manière sécurisée et cryptée.
Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : afox@himss.org
Healthcare IT News est une publication HIMSS Media.