Un « changement de paradigme » dans la collaboration en matière de sécurité
Lors d’un panel, Dee Young, CISO de l’UNC Health, a déclaré que son organisation comptait environ 350 000 appareils connectés à tout moment, et qu’environ 35 000 à 40 000 sont des types d’appareils médicaux. Le système de santé de Caroline du Nord a également pris en charge certaines organisations de soins de santé rurales, apportant sur le réseau davantage d’appareils hérités qui doivent être sécurisés.
La nomenclature des logiciels a été un bon point de départ pour fournir plus d’informations sur ce qui est intégré à un appareil, a déclaré Young. La vulnérabilité Log4j n’est qu’un exemple de la nécessité d’une approche méthodique pour évaluer les appareils en fonction de la probabilité de vulnérabilités.
Young a ajouté qu’UNC Health est la deuxième organisation dans laquelle elle travaille où l’équipe d’ingénierie biomédicale ou clinique relève du département informatique. « Cela a été un changement de paradigme intéressant en raison des compétences et de la pénurie. Nous avons constaté que cela est vraiment utile, en particulier pour essayer de patcher. Bien sûr, nous avons les gourous de la biomédecine, mais nous avons également beaucoup plus de personnes averties en informatique pour nous aider à essayer de combler le fossé des correctifs », a-t-elle déclaré.
La collaboration est également nécessaire lors de l’élaboration d’une gestion efficace des risques d’entreprise. Si une équipe de sécurité ne collabore pas entre les départements, elle aura plus de mal à faire décoller la gestion des risques ou à identifier les principaux risques, a déclaré Donald Lodge, responsable de la conformité chez Advocate Health, lors d’une autre session.
« Une fois que vous avez tout le monde autour de la table, il est vraiment important de commencer à parler de ce que vous essayez de retirer de votre programme de gestion des risques », a déclaré Lodge. « Ce qui est vraiment important, c’est d’essayer de comprendre quels sont vos objectifs en dehors de la simple communication des risques. »
Il est crucial de communiquer avec vos équipes et dans toute l’entreprise afin que chacun comprenne pourquoi la gestion des risques est importante. « Comment pouvons-nous mieux travailler ensemble en tant qu’organisation, éliminer les silos que nous avons et aider à mieux identifier, corriger et trouver les risques en général ? » a déclaré Elissa McKinley, directrice de la cybersécurité, de la gouvernance, des risques et de la conformité chez Advocate Health.
MONTRE: Écoutez ce que le directeur adjoint de CISA a à dire sur la cybersécurité des soins de santé.
Sécurisez votre environnement connecté avec Zero Trust
La confiance zéro est une approche de plus en plus appréciée dans le domaine de la sécurité des soins de santé. Cependant, les organisations qui n’ont pas encore intégré une partie du cadre de confiance zéro ne devraient pas tout faire en même temps. Commencez petit : envisagez de vous attaquer à l’un des piliers qui couvre les appareils.
« Si vous êtes en mesure d’appliquer la confiance zéro et la ligne de base » Voici quel est le comportement normal de mes appareils sur le réseau « , vous pouvez assurer la sécurité des patients, prévenir et contenir les attaques, réduire votre surface d’attaque et vraiment limiter, lorsqu’une attaque se produit, cette portée de cette attaque particulière », a déclaré Danelle Au, directrice du marketing chez Ordr.
Dans une session distincte, le PDG d’Ordr, Jim Hyman, a souligné la nécessité pour les organisations de soins de santé de savoir ce qui se trouve sur leurs réseaux et ce que font les appareils. C’est pourquoi gagner en visibilité est une première étape importante.
« Nous devrions arrêter de penser à la différenciation entre l’Internet des objets, l’Internet des objets médicaux, la technologie opérationnelle et l’informatique », a déclaré Hyman. « Vous devez regarder cela à tous les niveaux. »
Les dispositifs médicaux posent un défi unique dans le domaine de la santé car ils sont soumis à de nombreuses exigences réglementaires et directives que les sociétés informatiques ne gèrent pas traditionnellement, a déclaré Keith Whitby.
