TECHNOLOGIE SANTÉ : Parlez-nous de la création du Medical Device Security Lab d’IU Health.
ESTURGEON: J’ai rejoint IU Health en 2019, et au début de 2020, mon patron est venu me voir et m’a dit : « Hé, je veux que vous preniez la direction de notre équipe de sécurité offensive » – en gros, nos hackers éthiques. Et, « Oh, nous devons faire plus avec la sécurité des dispositifs médicaux. »
Je viens d’un milieu médico-légal numérique et défensif, donc le côté offensif était nouveau pour moi. Ensuite, la pandémie de COVID-19 a frappé, et en plus de cela, nous étions aux premiers stades de la construction d’un nouvel hôpital au centre-ville d’Indianapolis où se trouvaient nos cyber-bureaux, qui allaient être démolis.
Je savais que mon équipe devait mettre la main sur ces appareils pour tester la sécurité des patients, et évidemment nous ne voulons pas pirater ces appareils dans un établissement de soins aux patients. Nous avions besoin d’un endroit pour faire ce travail de test, et de là est venue l’idée de lancer un laboratoire. Ayons un espace dédié où mon équipe peut venir, physiquement ou à distance, pour faire des tests de sécurité des appareils. Finalement, nous avons atterri sur un espace au 16 Tech.
EXPLORER: 5 étapes pour sécuriser les appareils de l’Internet des objets médicaux.
Il est crucial de pouvoir tester les appareils de manière indépendante. Nous fonctionnons dans une perspective de « confiance mais vérification ». Oui, nous entretenons d’excellentes relations avec les fabricants avec lesquels nous faisons affaire, mais une fois qu’un appareil quitte son usine et entre dans la nôtre, c’est une inconnue pour nous. Comment cela va-t-il affecter notre réseau ? Quels sont les risques réels introduits dans notre environnement ?
Auparavant, nous ne faisions que croire un fournisseur sur la sécurité des appareils, mais les choses peuvent fonctionner différemment dans un nouvel environnement, il est donc très important de valider les appareils et de s’assurer que nous disposons des outils nécessaires pour les protéger. Le laboratoire nous donne la possibilité de faire des tests clés.
TECHNOLOGIE SANTÉ : Qu’avez-vous appris, vous et votre équipe, depuis l’ouverture du laboratoire ?
ESTURGEON: Nous savions que les appareils varieraient d’une capacité à l’interface utilisateur et à la façon dont ils stockent et transmettent les données, mais c’était une autre chose de le voir fonctionner et de le tester en premier. Nous avons toutes ces différentes variables basées sur tous ces différents appareils.
Nos conversations avec les fabricants se sont améliorées. Nos processus de traitement des données et de mise hors service des appareils se sont améliorés. Au fur et à mesure que mon équipe se familiarisera avec ces appareils, nous améliorerons nos tests de nouveaux appareils au fur et à mesure de leur arrivée. Cela a été un terrain de jeu agréable pour mon équipe de hackers éthiques pour pouvoir apprendre et explorer.
TECHNOLOGIE SANTÉ : Quelles sont les principales leçons de sécurité que vous avez apprises en 2022 ?
ESTURGEON: La collaboration est la clé du succès. En tant que système hospitalier, notre priorité absolue est de soigner les patients. Mais la santé ne peut à elle seule résoudre tous ses problèmes de cybersécurité. Nous avons besoin d’autres personnes de différents domaines d’expertise, de différents points de vue. Nous devons travailler ensemble, et cela est particulièrement vrai pour travailler en étroite collaboration avec les fabricants et les fournisseurs. Comment aborder le sujet du « faire confiance mais vérifier » de manière respectueuse et collaborative ? Les fabricants ont un point de vue, nous en avons un autre, et nous devons trouver un terrain d’entente pour résoudre les problèmes de sécurité au nom de la sécurité des patients.
SUIVANT: Découvrez des conseils pour sécuriser l’Internet des objets médicaux.
