Comprendre la cybersécurité des soins de santé en tant qu'écosystème
Lors d'une session animée par le Dr David Rhew, médecin-chef mondial et vice-président des soins de santé pour les affaires commerciales mondiales à Microsoft, un leader de l'industrie a souligné la nécessité d'informer les pratiques de cybersécurité avec des données difficiles.
«Tout ce que nous faisons est inspiré par notre point de vue en tant que cliniciens habitués à travailler avec la médecine fondée sur des preuves. Et en cybersécurité, nous devons nous rattraper le point de vue d'avoir des données qui peuvent nous aider à faire des choix exploitables », a déclaré le Dr Jeffrey Tully, professeur de clinique associé d'anesthésiologie à l'Université de Californie à San Diego, et codirecteur du Center for Healthcare Cybersecurity de l'université.
« Une partie du travail que nous faisons », a-t-il ajouté, « consiste à regarder en arrière et à voir quelles leçons peuvent être apprises des attaques de ransomwares précédentes, en particulier sur la façon dont ils affectent les soins aux patients et la prestation des soins aux patients. »
Par exemple, les cyberattaques peuvent avoir un impact régional. Lorsqu'un système de santé à San Diego a été frappé de ransomwares en 2021, il a affecté les organisations voisines à travers une augmentation des volumes des patients, des temps d'attente plus longs dans les services d'urgence et le détournement de SME à travers la ville.
« Il n'est pas seulement suffisant de penser à la posture de votre propre organisation, mais vraiment en pensant que vous êtes un article dans un réseau plus large et comment vous planifiez la résilience de l'ensemble du système de santé », a déclaré Tully.
Le vice-président de l'hôpital de Newyork-Presbyterian et CISO John Frushour a mentionné qu'un majeur à retenir de la conférence était d'apprendre la différence entre la reprise après sinistre et la cyber-récupération et les considérant comme des problèmes distincts. Par exemple, dans le contrôle du compte, la reprise après sinistre amène les gens à se reconnecter à un système restauré, mais la cyber-récupération détermine si l'attaquant est toujours dans le réseau et a un moyen d'assurer l'authentification des utilisateurs de confiance.
Frushour a également souligné l'importance de développer de nouveaux talents de cybersécurité, notamment en incluant plus de femmes. Il a noté qu'il préférait les membres de l'équipe qui ont une expérience générale informatique avant de devenir plus spécialisé dans la cybersécurité.
Évolution des approches de cybersécurité dans les soins post-aigus
Dans l'espace de soins post-aigus, Riverdale, basé à NY, Riverspring Living CIO David Finkelstein a expliqué comment les cyber-événements récents ont affecté son organisation; L'organisation utilise un fournisseur de systèmes de dossiers de santé électronique qui s'appuyait sur Change Healthcare pour les soumissions de réclamations, ce qui a entraîné un retour aux processus manuels après l'attaque, affectant les flux de trésorerie pendant au moins un mois.
Citant la panne de la crowdsstrike, il a ensuite souligné l'importance de la gestion des risques tiers. «Nous avons changé les choses. Même les petites organisations et les grandes organisations ont changé leurs plans de reprise après sinistre et de continuité des activités basés sur Crowdsstrike », a-t-il déclaré.
Tamra Durfee, VCISO chez Managed Security Service Provider (MSSP) Fortified Health Security, a souligné la pénurie de main-d'œuvre de cybersécurité qui se sentait actuellement dans toutes les industries, mais surtout dans les soins de santé.
« La plupart du temps, les gens ne pensent pas aux soins de santé d'une cybersécurité ou de point de vue », a-t-elle déclaré. Plus une organisation est plus petite, plus il peut être difficile de remplir un rôle ouvert, surtout s'il s'agit d'une position à temps partiel.
La compétition pour les talents est féroce. « Je pense que c'est un gros problème lorsque nous parlons du secteur des soins post-aigu, et vous essayez d'embaucher quelqu'un pour un rôle de cyber, et nous avons un hôpital qui est peut-être à 20 à 30 minutes, et ils recherchent également quelqu'un pour le cyber », a déclaré Robert « Bob » Latz, CIO à St. Clairsville, Ohio, Trinity Rehab Services. «Cela change un peu le marché.»
Finkelstein a ajouté que son organisation avait initialement ajouté un rôle de cybersécurité interne qui avait un chiffre d'affaires régulier. Après plusieurs années, l'organisation a supprimé le rôle et est passé à un MSSP qui a offert une surveillance 24/7.
En terminant la discussion, Latz a déclaré qu'il espérait humaniser le rôle de la cybersécurité dans les soins de santé. « Lorsque nous parlons de la cyber-sécurité en tant que sécurité des patients, j'espère que vous pensez aux personnes qui vous entourent pendant que vous mettez en œuvre les cyber-pièces », a-t-il déclaré.