Face à la montée des cybermenaces, le secteur de la santé est devenu un foyer de cyberattaques. Compte tenu de la gravité de cette circonstance, nous avons pris place avec Shenny Sheth, CISO adjointe chez Centura Health, qui met en lumière les facteurs contributifs qui rendent les organisations de soins de santé sensibles, le rôle des systèmes informatiques traditionnels, le réseau typique qui suit les erreurs, les modèles d’information et les implications financières de ces attaques.
Cette discussion explore également les complexités des collaborations et des relations avec des tiers qui affectent le profil de cybermenace d’un système de soins de santé.
Compte tenu de l’augmentation des cyberattaques contre les établissements de santé, pourriez-vous nous expliquer certaines des principales raisons pour lesquelles ce secteur semble être une cible de choix pour les cybercriminels ?
Après presque 20 ans de ma profession à la tête d’un lieu de travail de cybersécurité, de particuliers, de fournisseurs, d’intervenants et de plans de dépenses dans l’administration de la santé publique ainsi que dans le secteur des soins de santé personnels, je trouve que le marché est particulièrement vulnérable aux cyberattaques. Les organisations de santé ont souvent connu un pic d’attaques en raison d’une sécurité inadéquate, de la forte probabilité de répondre rapidement aux besoins de paiement des adversaires et de la grande quantité de dossiers de patients qu’ils possèdent.
Mon observation suggère plusieurs aspects contributifs :
- Une technologie vieille de plusieurs années combinée à une préparation et une planification moins qu’adéquates autour des cyber-urgences
- L’environnement en ruine et la grande le volume de ports réseau et d’appareils utilisés dans les établissements médicaux en fait un art de rester au top de la division, du zonage et de la sécurité
- La main-d’œuvre n’est pas aussi consciente ou référente aux problèmes et événements cybernétiques en raison de leur compréhension restreinte des cybermenaces en ligne et personnelles
- Il n’y a pas envie d’interrompre les options de travail pratiques avec l’introduction d’une nouvelle innovation qui pourrait nécessiter un ajustement du personnel, ou simplement mettre l’amélioration de l’entreprise
- La télécommande /plan de travail hybride a en fait étendu les zones d’attaque standard de l’entreprise encore plus larges
- L’identité privée et les informations sur les clients valent un grand avantage pour les agresseurs qui sont économiquement encouragés.
Dans votre point de vue, comment les systèmes informatiques hérités ont-ils ajouté à la vulnérabilité du secteur de la santé aux cyberattaques, et pourquoi la modernisation de ces systèmes est-elle un besoin crucial ?
En tant qu’organisation de soins de santé phare, Centura Health prospère grâce à la réimagination, à l’innovation et à l’adoption d’innovations médicales de pointe. Cependant, je comprends que tous les niveaux et toutes les tailles de l’organisation sur le marché n’ont pas suivi le rythme. Des systèmes de santé incorporés spécifiques, par exemple, devraient gérer les déficits de revenus, retarder/différer les mises à niveau du cycle de vie des systèmes et encore moins les mettre à jour totalement.
Cela laisse entrevoir un rythme rapide auquel la technologie médicale finit par devenir obsolète, les points faibles associés s’aggravent et le secteur dans son ensemble reste extrêmement vulnérable aux cyberattaques. Il est essentiel de rationaliser de manière proactive les nouveaux investissements financiers en supprimant progressivement les plateformes en fin de vie (EOL) et en fin de service (EOS). Des modèles d’architecture qui favorisent l’extensibilité grâce à des interfaces de programmation d’applications (API) sûres et à des ports d’informations robustes avec une gestion prudente de la configuration, les organisations de soins de santé peuvent améliorer les systèmes critiques avec un indice de vulnérabilité/exposition directe élevé avec des dollars et des personnes facilement disponibles.
Pouvez-vous nous expliquer les erreurs courantes que commettent les organismes de soins de santé lorsqu’ils surveillent leurs réseaux pour détecter les dangers ?
J’ai partagé précédemment que certains membres de la main-d’œuvre pourraient ne pas appliquer les directives de cyberhygiène nécessaires tandis que d’autres n’ont pas la compréhension nécessaire pour reconnaître et atténuer les risques en ligne affectant leur environnement de travail. Gardez à l’esprit que les individus ne sont pas en faute !
En 2022, j’ai parlé et partagé au HITRUST Collaborate que les organisations de soins de santé devraient repousser les « forces obscures » avec des « sorciers » de votre pipeline de cyber-compétences . Exécuter des plans budgétaires de formation/sensibilisation et trouver le cours pour minimiser puis supprimer le facteur de travail élevé, la tension excessive et la concentration humaine indésirable sur des tâches de faible valeur associées aux opérations de sécurité – constituez plutôt des groupes pour rechercher les indicateurs de compromission et d’exposition directe (IoC/IoE) en interne. C’est un must.
En examinant les violations de données de santé les plus importantes, quels modèles ou points communs émergent qui pourraient aider les entreprises à prévenir de futures attaques ?
En tant que membre actif du FBI/InfraGard, je reste à l’écoute de nos interactions avec le Conseil intersectoriel et des messages cruciaux fournis par la Cybersecurity and Infrastructure Security Company (CISA) fédérale. La société a récemment mis en évidence les schémas de mauvaises pratiques, notant que ces pratiques sont « dangereuses et augmentent considérablement le danger pour la sécurité nationale, la sécurité financière nationale et la santé et la sécurité publiques nationales ».
CISA a également noté que chacune de ces pratiques « est particulièrement flagrante dans les innovations disponibles sur Internet ». À la lumière de cette connaissance, les entreprises de soins de santé devraient : (1) adopter des stratégies pour s’éloigner des logiciels non pris en charge (ou en fin de vie) au service des installations critiques et des fonctions importantes à l’échelle nationale (NCF), et (2) passer au mot de passe -des services de garantie multi-facteurs et multi-appareils pour empêcher l’accès préliminaire destructeur ou l’exécution de code à distance (RCE) afin d’éviter l’entrée dans les installations cruciales et la zone NCF.
Pouvez-vous parler des répercussions financières auxquelles les entreprises de soins de santé sont confrontées en raison de violations d’informations, compte tenu notamment des amendes possibles en vertu du RGPD et des coûts associés aux attaques de ransomware ?
Le RGPD mentionne explicitement que certaines infractions sont plus graves que d’autres. Variant en amendes de 2 % (ou environ 10 millions d’euros) à 4 % (ou jusqu’à 20 millions d’euros) du chiffre d’affaires mondial d’une organisation au cours de l’exercice précédent, selon la quantité la plus élevée. Ce ne sont que les amendes applicables à la violation des données sécurisées des sujets de l’UE, les coûts peuvent atteindre plusieurs dizaines de millions lorsqu’une grande entité de soins de santé doit se remettre d’une violation ou du vol de grandes quantités d’informations à la suite d’une attaque de ransomware efficace.
Comment la collaboration avec d’autres services et fournisseurs affecte-t-elle le profil de danger d’un système de soins de santé, et comment les organisations de soins de santé peuvent-elles s’assurer que leurs partenaires peuvent atténuer les cyber-risques ?
Avec la dépendance croissante vis-à-vis des relations de la chaîne d’approvisionnement avec des tiers, l’éventualité d’incidents est éternelle ; et l’exposition financière directe estimée à un événement a en fait considérablement augmenté. Pour les législateurs, les entreprises et les clients, les fonctions exercées par les fournisseurs essentiels, les partenaires commerciaux, les partenaires, les sociétés affiliées ou les services d’hébergement d’innovation sont généralement équivalentes à celles exercées par l’activité principale.
En conséquence, lorsque les cyber-lacunes sont exploitées par des tiers, les systèmes de soins de santé sont confrontés aux dangers financiers, de réputation et réglementaires associés. Cela modifie énormément le profil de danger de l’entreprise. Prenons un exemple, les expositions développées à partir de l’utilisation, du stockage et/ou de l’interaction de détails par un associé commercial d’une manière qui n’est pas suffisamment protégée contre les modifications involontaires ou destructrices, la destruction et l’accès non autorisé aux causes qui ont un effet cybernétique direct sur l’entité couverte . Un fournisseur de dispositifs médicaux ou un fabricant pharmaceutique paralysé par une cyberattaque réussie peut entraîner l’incapacité de fournir des dispositifs, des pièces, des médicaments ou des services importants en raison de l’incapacité à gérer correctement un événement perturbateur, entraînant un impact défavorable.
Comme le fait Centura Health, les entreprises basées aux États-Unis peuvent éviter le non-respect des lois, des directives ou des normes éthiques, consistant en un conflit d’intérêts, entraînant la censure des régulateurs, des litiges et/ou des effets défavorables par adopter une structure de conformité appropriée, telle que la structure de sécurité commune HITRUST (HITRUST CSF) qui fournit une structure pour les pratiques, les responsabilités et un programme de cybersécurité doté de ressources adéquates pour servir à la confidentialité des données et aux obligations de confidentialité personnelle.
Moi-même, le HITRUST, Le Conseil Health3PT et nos ressources en ligne utilisent des suggestions exceptionnelles sur la manière dont les entités de soins de santé et leurs tiers pourraient effectuer une évaluation proactive des dangers, remédier et agir en permanence pour se débarrasser des cybercatastrophes qui peuvent entraîner des dommages financiers et de réputation extrêmes.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
