De gauche à droite : la directrice générale mondiale d’Accenture, Salwa Rafee, le directeur de la sécurité de Health-ISAC, Errol Weiss, le directeur exécutif du groupe de travail sur la cybersécurité du Conseil de coordination du secteur de la santé, Greg Garcia, et le directeur technique et cofondateur d’Armis, Nadir Izrael, discutent de l’évolution des cybermenaces.
Les dispositifs médicaux laissent également les organisations de soins de santé vulnérables aux attaques. Izrael a expliqué que bon nombre de ces appareils sont anciens ou fonctionnent avec d’anciens logiciels, car ils peuvent avoir une longue durée de vie et les organisations de soins de santé n’ont aucune raison de les réapprovisionner constamment. Cependant, Izrael a souligné que ces appareils sont déjà anciens lorsqu’ils sont neufs et prêts à l’emploi en raison du temps nécessaire à la Food and Drug Administration pour certifier un appareil.
« Les soins de santé sont un environnement riche en cibles de choses anciennes et vulnérables. C’est une cible lucrative pour ceux qui veulent gagner de l’argent », a déclaré Izrael. « Les organisations de sécurité ont été terriblement sous-financées. Une partie de cela a changé, et d’autres continuent de changer, mais il existe un risque et une surface d’attaque importants dans les soins de santé.
Il recommande aux équipes informatiques et de sécurité de la santé de revenir à l’essentiel pour protéger leurs organisations des cybermenaces. Bien qu’il ne soit pas possible d’identifier et de résoudre chaque vulnérabilité, Izrael a déclaré que le triage pouvait aider.
« Corrigez ce que vous pouvez. Renforcez vos défenses là où vous le pouvez. Vous avez besoin des bases mêmes de la sécurité et d’une bonne hygiène », a-t-il déclaré. « Faire cela réduira considérablement votre risque d’attaque. Il ne s’agit pas de choses fantaisistes mais des éléments de base.
APPRENDRE ENCORE PLUS: Comment les systèmes de santé peuvent constituer leurs équipes de sécurité.
Collaborer pour atténuer les cybermenaces pour les établissements de santé
Les soins de santé sont une infrastructure essentielle, et Greg Garcia, directeur exécutif du groupe de travail sur la cybersécurité du Conseil de coordination du secteur de la santé, a déclaré que l’industrie et le gouvernement doivent travailler ensemble pour identifier et atténuer les menaces systémiques.
Son groupe travaille avec le Congrès sur la manière de collaborer. Il a expliqué que la réglementation et les forces du marché ne résoudraient pas les problèmes à elles seules. Les conversations avec le Congrès ont porté sur la fourniture d’incitations aux petits prestataires de soins de santé pour qu’ils investissent dans la cybersécurité, a déclaré Garcia.
Il a également noté que la Cybersecurity and Infrastructure Security Agency effectue des tests de pénétration et des évaluations de sécurité avec les organisations et discute des moyens dont les organisations de santé peuvent renforcer leurs défenses.
Le Health-ISAC Medical Device Security Information Sharing Council comprend des fabricants de dispositifs et des parties prenantes de la communauté de la sécurité des dispositifs médicaux. Il travaille avec des chercheurs en sécurité pour proposer un ensemble équilibré de recommandations sur la sécurité des dispositifs médicaux.
Garcia a déclaré que l’industrie de la santé ne peut pas se permettre de pointer du doigt parce que les patients sont les bénéficiaires ultimes du travail.
« La sécurité des patients passe par la cybersécurité. Nous devons nous unir autour d’un objectif et trouver des moyens de combler les différences », a-t-il déclaré.
PLONGER PLUS PROFONDEUR : Comment protéger les informations des patients à l’aide du cryptage des données et du zéro confiance.
Protéger les données des patients dans un environnement complexe
« Prendre soin de vos patients signifie prendre soin de leurs données », a déclaré Marti Arvin, responsable de la conformité et de la confidentialité pour Erlanger Health System, lors de la session « Sécurité des données de santé : plus une cible facile ».
La quantité de données sur les patients que les organisations de santé collectent augmente rapidement. Les organisations de soins de santé se concentrent davantage sur la manière de mieux gérer et extraire des informations de ces données. Cependant, il est important que la confidentialité et la sécurité des patients ne soient pas traitées après coup.
Arvin a déclaré que si une organisation de soins de santé sait où se trouvent 95% de ses données, alors elle fait du bon travail. Elle a expliqué que son organisation essaie d’obtenir autant de données que possible en un seul endroit pour être une source d’accès pour les cliniciens et le personnel. Cela facilitera l’établissement d’un processus d’accès aux données, plutôt qu’un clinicien ne demande directement des données à la personne déclarante en informatique parce qu’ils sont amis.
« Nous ne voulons pas retenir des données si quelqu’un en a besoin à des fins légitimes, mais il doit y avoir un processus pour savoir où elles sont stockées et comment elles sont accessibles », a déclaré Arvin.
De nombreux organismes de santé stockent des données auprès de fournisseurs qui sont également des cibles de cyberattaques, car ils stockent des données pour plusieurs organismes de santé. Cependant, un nouveau type de menace est en train d’émerger. Certains de ces fournisseurs partagent des données avec des fournisseurs tiers, créant ainsi un autre moyen pour les acteurs malveillants d’accéder aux précieuses données des patients.
Jesse Fasolo, responsable de la sécurité de l’information et responsable de l’infrastructure technologique et de la cybersécurité chez St. Joseph’s Health, a déclaré que son organisation avait mis en place un système robuste pour évaluer les risques liés aux tiers.
« Des tiers externalisent leurs fonctions et l’accès aux données à des tiers, et cela pourrait même aller au-delà. Quelqu’un d’autre a accès à nos données mais ne m’en informe pas », a-t-il déclaré. « Nous devons comprendre où se trouvent les données et où elles vont. »
Alors que les organisations doivent faire face à de nouvelles menaces pour les données des patients, elles doivent également partager les dossiers électroniques des patients. Les médecins qui interfèrent avec l’accès, l’échange ou l’utilisation d’informations électroniques sur la santé sont considérés comme des bloqueurs d’informations et sont passibles de sanctions. Cependant, la règle finale de la loi sur les traitements de 2020 du Bureau du coordinateur national des technologies de l’information sur la santé a établi huit exceptions de blocage d’informations.
EXPLORER: Comment la modernisation du stockage des données conduit à un meilleur accès aux données dans le domaine de la santé.
La PDG de Medigram, Sherri Douville, a déclaré qu’il y avait un manque de clarté et d’alignement autour des exceptions et qu’il fallait apprendre davantage. Arvin a accepté, ajoutant que de nombreuses organisations sont toujours aux prises avec le blocage des informations.
« Les organisations doivent fournir une bonne éducation et s’assurer qu’il y a un expert en la matière dans l’organisation que les gens peuvent contacter », a déclaré Arvin. « Quatre-vingt-dix pour cent des gens ne comprennent pas l’exception concernant la prévention des dommages. Nous devons nous assurer que les cliniciens comprennent et ne bloquent pas les données inutilement. »
Pour répondre aux demandes croissantes en matière de données tout en protégeant les données des patients, les organisations de soins de santé ont besoin d’experts en confidentialité et en sécurité. Bill O’Connell, responsable des opérations de sécurité des produits et de confidentialité chez Roche Information Solutions, a déclaré qu’une façon pour les organisations d’embaucher des experts dans un contexte de pénurie de personnel informatique consiste à attirer des personnes d’autres secteurs hautement réglementés tels que la banque, car ils sauraient ce que c’est. fonctionner dans ce type d’environnement. Une autre consiste à travailler à distance et à élargir le bassin de candidats.
Fasolo a souligné que le recrutement dans d’autres industries est difficile lorsque ces industries peuvent payer beaucoup plus. Il a déclaré que certaines personnes se présentent aux soins de santé avec moins d’expérience et d’exposition, car c’est ce qui est disponible, ce qui peut entraîner des problèmes de sécurité des données. Il recommande de nourrir de l’intérieur.
Les organisations doivent également organiser régulièrement des programmes de formation sur la sécurité et la confidentialité pour favoriser une culture de la sécurité.
« La sécurité, la confidentialité et la conformité sont la responsabilité de chacun dans un système de santé », a déclaré Fasolo. « Tout le monde a besoin d’apprendre et de rechercher des connaissances. »
Gardez cette page en signet pour notre couverture de ViVE 2023, qui aura lieu du 26 au 29 mars à Nashville, Tennessee. Suivez-nous sur Twitter à @HealthTechMag et rejoignez la conversation sur #ViVE2023.
