Aucune organisation ne souhaite subir une faille de sécurité majeure. Mais lorsque cela arrive aux organisations de soins de santé (HCO) comme les fiducies du NHS, l’impact sur la communauté locale peut être démesuré. Les attaques WannaCry de 2017 et le raid du ransomware Conti contre le Health Service Executive (HSE) irlandais ont mis en lumière les défaillances des deux côtés de la mer d'Irlande. Même si des améliorations ont été apportées, de nombreux défis sous-jacents continuent d’exposer le secteur à de graves cyber-risques. Compte tenu de l’ampleur des enjeux, une approche globale et concertée de la gestion de ces risques est attendue depuis longtemps.

Mise en scène

Pourquoi les HCO sont-elles si exposées au cyber-risque ? Comme le le gouvernement reconnaît dans sa propre stratégie de sécurité pour le secteur jusqu’en 2030, une grande partie de celle-ci découle d’une série de facteurs uniques, notamment :

  • Sa taille et sa diversité rendent difficile la standardisation des approches dans toutes ses composantes, depuis les soins primaires jusqu'aux soins sociaux pour adultes. Cela signifie également que les données sont partagées par un nombre potentiellement important d’entités disparates, ce qui peut accroître les risques.
  • Ressources limitées et spécialistes de la cybersécurité à consacrer au problème
  • Des lignes hiérarchiques et de responsabilité peu claires
  • Pression opérationnelle extrêmement élevée, qui n’a fait qu’augmenter avec les retards liés au COVID-19
  • Un vaste parc d'actifs technologiques diversifiés, des machines de diagnostic aux systèmes de réservation des patients et aux services de prescription. De nombreux systèmes de technologie opérationnelle (OT) peuvent être difficiles, voire impossibles, à corriger.

Quelles sont les principales cybermenaces pour la santé ?

Cela dit, bon nombre des menaces auxquelles sont confrontées les établissements de santé sont similaires à celles d’autres secteurs. Ils comprennent:

Vulnérabilités logicielles: souvent exacerbé par l’utilisation de systèmes d’exploitation non pris en charge. Les équipements OT ayant une longue durée de vie (> 10 ans) peuvent ne pas prendre en charge les logiciels et les systèmes d'exploitation modernes, ce qui rend l'application de correctifs doublement difficile. Selon l'étude Lessons Learned de William Smart sur le NHS England, plus de 1200 2017 équipements de diagnostic ont été identifiés comme étant infectés par WannaCry après l'apparition de la fameuse menace en XNUMX.

Ingénierie sociale: Le phishing reste l’un des principaux vecteurs de menace dans tous les secteurs, exploitant le maillon faible humain de la chaîne de sécurité. Sous pression, le personnel soignant peut être plus enclin à cliquer avant de réfléchir.

Travail à distance: Le secteur de la santé a adopté le travail hybride lorsque cela était possible pour améliorer la productivité et l'équilibre entre vie professionnelle et vie privée. Mais les risques associés à un personnel distrait et à des appareils/réseaux domestiques non sécurisés persistent.

Insiders malveillants : Il est intéressant de noter que plus d’un tiers (35 %) des violations analysées par Verizon cette année, le secteur est venu d'initiés. Il met en garde contre la menace que représentent les employés mécontents et la collusion entre plusieurs parties.

Fuites accidentelles : Une autre tendance repérée par Verizon est la mauvaise transmission d’informations sensibles par le personnel de santé. Outre les attaques basiques contre les applications Web, les erreurs diverses représentent 68 % des violations.

la chaîne d'approvisionnement: Avec une chaîne d’approvisionnement vaste et complexe, les prestataires de soins de santé sont exposés à des risques supplémentaires. UN attaque ransomware sur le fournisseur de logiciels britannique Advanced a eu un impact généralisé sur le NHS depuis des semaines, y compris sur sa ligne d'assistance critique 111. Plus récemment, Le HSE irlandais a admis la campagne de vol de données MOVEit l'a impacté.

Enjeux

WannaCry a souligné pour la première fois le niveau de dépendance des systèmes de santé modernes à l’égard de la technologie numérique. Au total, ça a perturbé 81 des 236 fiducies en Angleterre (34 %), ce qui a entraîné l'annulation d'environ 19,000 XNUMX rendez-vous et opérations, de nombreux patients étant dirigés vers des services A&E plus éloignés.

« Avec environ 950,000 45,000 rendez-vous quotidiens en médecine générale, 137,000 XNUMX visites dans les services d’urgence et XNUMX XNUMX événements d’imagerie enregistrés, l’ampleur de l’impact – direct et indirect – d’une cyberattaque sur le secteur de la santé et des services sociaux est potentiellement énorme », admet le gouvernement. .

Cela a bien sûr un coût financier. Le HSE irlandais a déjà dépensé dizaines de millions d'euros gérer les retombées de son impact massif Violation de ransomware en 2021. Une étude de Revendications ThreatConnect qu'en moyenne, les HCO dont le chiffre d'affaires atteint jusqu'à 500 millions de dollars perdent environ 30 % de leur bénéfice d'exploitation si elles sont touchées par une grave attaque de ransomware. Il existe certainement également un risque réglementaire, surtout si les informations personnelles des employés et des patients sont volées. Bien qu’il n’y ait pas eu d’amendes significatives en vertu du RGPD jusqu’à présent, les régulateurs ont parfois imposé des sanctions financières, et le règlement classe en effet la plupart des données médicales dans une « catégorie particulière », c’est-à-dire qu’elles sont soumises à des règles plus strictes.

Cependant, au-delà de l'impact financier, de réputation et de conformité, qui peut sérieusement dégrader la confiance des patients, il existe un risque plus évident : la sécurité des patients. Des études ont montré une corrélation croissante entre les taux de mortalité et les cyberattaques. Un rapport a même trouvé un lien entre les données brèches et décès par crise cardiaque. C'est mis à part l'apparent risque pour la santé des patients contre les attaques de ransomwares qui mettent hors ligne les systèmes numériques critiques.

Comment se portent les HCO ?

Compte tenu de ces enjeux élevés, constater des progrès en matière d’atténuation des cyber-risques dans le secteur de la santé au Royaume-Uni est quelque peu rassurant. Selon le gouvernement Enquête sur les violations de la cybersécurité 2023les organisations du secteur de la santé, des services sociaux et du travail social sont « considérablement » plus susceptibles que l’organisation moyenne de prendre des mesures basées sur les meilleures pratiques, telles que la mise en œuvre d’une surveillance de la sécurité, d’évaluations des risques, de tests du personnel, d’audits de vulnérabilité, de tests d’intrusion et de renseignements sur les menaces. Ce chiffre est de 74 % pour les HCO contre 51 % tous secteurs confondus. Ils sont également plus susceptibles (35 % contre 18 %) d'avoir dispensé une formation de sensibilisation à la sécurité du personnel au cours des 12 derniers mois. Et de plus en plus d'organisations de santé, de protection sociale et de travail social ont mis en place des plans de continuité d'activité couvrant la cybersécurité (46 % contre 27 %) et des politiques de sécurité formelles (57 % contre 29 %).

Cependant, il reste encore beaucoup à faire, et rien ne garantit que ces efforts ne soient pas de simples exercices de cocher des cases de la part d'organisations opérant dans un secteur hautement réglementé.

Richard Staynings, stratège en chef de la sécurité chez Cylera, spécialiste britannique de la sécurité des soins de santé, affirme que la certification des applications, des fournisseurs et des prestataires de services tiers de soins de santé serait d'une grande aide. 

« La certification ISO27001 a beaucoup de sens pour certains services qui peuvent être certifiés, tandis qu'une attestation SOC2 Type II basée sur les domaines et contrôles ISO 27001 applicables peut avoir plus de sens pour d'autres », explique-t-il à ISMS.online. « Quoi qu’il en soit, les fournisseurs ne devraient pas avoir à évaluer les risques de leurs fournisseurs chaque année, comme c’est le cas actuellement. À tout le moins, les tiers doivent être soumis à des niveaux de sécurité égaux ou supérieurs à ceux des fournisseurs qu’ils servent. Des normes communes seraient certainement utiles.»

Mohammad Waqas, directeur technique des soins de santé chez Armis, affirme que le Boîte à outils de sécurité et de protection des données du NHS, aux côtés de la norme ISO 27001 et de la directive NIS de l'UE, donne au Royaume-Uni « une base de sécurité plus mature » que de nombreux autres pays. Il prévient toutefois que la sécurité des dispositifs médicaux, en particulier, présente un risque important.

« Être capable de surveiller ces appareils et de comprendre leur comportement et leurs risques en temps réel est essentiel pour garantir la sécurité des patients et le bon fonctionnement des opérations. Cela permet également l’identification proactive des risques et des vulnérabilités, permettant ainsi aux fiducies de prendre des mesures en temps opportun », a-t-il déclaré à ISMS.online. « En utilisant une solution centralisée de gestion des risques, les HCO peuvent adopter une approche unifiée de réduction des risques sur tous les types d'appareils, ce qui garantira une posture de sécurité globale et améliorera la sécurité globale. »

Gestion des risques liés à la conformité des soins de santé

Il y a beaucoup à recommander dans la stratégie gouvernementale 2030, qui exige que tous les organismes de santé publics soient régulièrement audités dans le cadre du cadre d'évaluation de la cybersécurité (CAF) du Centre national de cybersécurité. La stratégie définit cinq piliers clés du succès :

  1. Concentrez-vous sur les risques et les préjudices les plus importants
  2. Défendre comme un seul
  3. Gens et culture
  4. Bâtir en toute sécurité pour l’avenir
  5. Réponse et rétablissement exemplaires

 

Une grande partie de l’objectif de la stratégie est de garantir que les HCO maîtrisent d’abord les bases de la cyberhygiène, afin d’éliminer les risques découlant d’erreurs relativement élémentaires telles que les mots de passe faciles à deviner, les actifs non corrigés et le phishing. Lorsque la prévention n'est pas possible, l'idée est de garantir que les organisations disposent des outils de surveillance de la sécurité et des processus de réponse aux incidents appropriés pour garantir qu'elles peuvent détecter et contenir les menaces avant qu'elles ne puissent avoir un impact sérieux.

La norme ISO 27001 peut contribuer à ces efforts en :

  • Identifier les failles de sécurité
  • Minimiser les risques de la chaîne d’approvisionnement
  • Soutenir les efforts de conformité réglementaire/légale
  • S'assurer que le personnel est correctement formé et sensibilisé à la sécurité
  • Réduire les risques de violation grâce à des politiques et des processus correctement documentés
  • Gérer les risques sur toute la surface des cyberattaques

 

Il s'agit d'améliorer la cyber-résilience des systèmes informatiques critiques, pour finalement instaurer la confiance avec les patients et réduire l'impact financier et opérationnel des cyberattaques dans le secteur des soins de santé. 

Si vous souhaitez commencer votre voyage vers une meilleure sécurité des informations et une meilleure confidentialité des données, ISMS.online peut vous aider.

Notre solution ISMS permet une approche simple, sécurisée et durable de la confidentialité des données et de la gestion des informations avec la norme ISO 27001 et renforce d'autres cadres tels que SOC 2, GDPR et plus encore. Libérez votre conformité en matière de soins de santé dès aujourd’hui.

Parlez à un expert