Lakewood Health a rejoint le programme comme l'un des quatre premiers adoptants au printemps 2024. Il a commencé avec une évaluation tierce de ses politiques et outils de cybersécurité, et qui a conduit à l'identification de plusieurs points faibles qui nécessitaient une attention immédiate.
Bien que l'organisation venait de passer à des pare-feu de nouvelle génération avec une protection compatible avec l'intelligence artificielle, Roeder dit: «L'un de nos plus grands problèmes était que nous n'avions pas de logiciels de détection et de réponse.»
Le correctif comprenait la mise en œuvre de Microsoft Defender XDR, une solution de sécurité qui déploie des règles de réduction de surface d'attaque pour bloquer ou auditer une activité malveillante ou suspecte sur le réseau d'une organisation. Si un utilisateur de l'une des postes de travail de l'organisation essaie de lancer quelque chose qui n'a pas été approuvé, «nous l'avons mis en place pour empêcher que cela se produise et de l'autorégédie si quelque chose passe», dit-il.
Lakewood Health profite désormais également des tests de simulation de phishing axés sur Microsoft et, grâce à l'agence fédérale de sécurité de cybersécurité et d'infrastructure, de packages de numérisation de vulnérabilité gratuits et d'exercices de table.
«C'est un voyage sur lequel nous sommes, mais nous sommes bien mieux que nous ne l'étions il y a un an», explique Roeder. «Il y a beaucoup de pièces différentes qui y entrent, et tout cela est ce qui nous permet d'être en sécurité.»
Défis uniques pour la cybersécurité des soins de santé ruraux
En 2024, il y a eu 725 grandes violations de données sur les soins de santé, chacune impliquant au moins 500 dossiers de patients, selon le ministère américain de la Santé et des Services sociaux. Le piratage et d'autres incidents informatiques ont représenté plus de 80% de ces incidents, ce qui n'est pas surprenant étant donné les estimations que les dossiers médicaux numériques sont 50 fois plus précieux que les informations financières.
Alors que les hôpitaux du monde entier sont à risque de cyberattaque, les fournisseurs ruraux sont particulièrement mis au défi dans leur capacité à monter une défense efficace.
«Cela revient en grande partie au remboursement et à la disposition des fonds et de l'expertise», explique Roeder, qui a été co-lancé pour un rapport sur le sujet par le groupe de travail de cybersécurité du Conseil de coordination du secteur de la santé. Les prestataires liés aux ressources «n'ont pas la main-d'œuvre, les partenaires et les moyens de mettre en œuvre les meilleures pratiques de cybersécurité», a conclu le rapport.
La bonne nouvelle est que des organisations comme le HSCC collaborent activement avec les dirigeants du secteur technologique pour rendre la cybersécurité des soins de santé rurale plus forte. Et des experts de l'industrie comme John Riggi, le conseiller national de l'AHA pour la cybersécurité et les risques, encouragent les hôpitaux ruraux à tirer le meilleur parti de ces partenariats.
«Dans beaucoup de ces installations, le directeur informatique examine les journaux d'une minute, et la minute suivante, il change d'ampoule», explique Riggi. Des initiatives comme le programme Microsoft, qui compte désormais plus de 550 participants, «peut vraiment faire une différence pour les hôpitaux à accès critique en les aidant à faire tout possible en défense».