BOSTON – Greg Garcia, directeur exécutif du groupe de travail sur la cybersécurité du Conseil de coordination du secteur de la santé et de la santé publique, a posé à l’auditoire une question facétieuse : “Quel est votre problème ?”
Lors de sa discussion au HIMSS Healthcare Security Forum lundi, Garcia a fait remarquer que la sécurité de l’information est en fait “notre problème”.
Il a exploré les façons dont le secteur de la santé collabore – et manque de collaboration – pour gérer les risques de cybersécurité.
Il y a eu plus de 4 500 violations de données affectant 315 millions de dossiers de patients, a-t-il souligné, et le secteur de la santé devrait maintenant savoir quels sont ses problèmes :
- Les violations de données dues aux cyberattaques ont augmenté de 350 % au cours des 5 dernières années, selon le HHS Office of Civil Rights
- Les rançongiciels ont perturbé les opérations cliniques et causé des dommages aux patients
- Les dispositifs médicaux vieillissants ne sont plus pris en charge ou supportables
- Les fournisseurs de services et les fournisseurs tiers sont des vecteurs d’attaques en matière de soins de santé.
- Le personnel clinique doit reconnaître et faire partie de la solution de cybersécurité
Il a déclaré que même si de nombreuses solutions seraient discutées lors de la conférence de deux jours sur la cybersécurité qui se concentrerait sur le tactique et l’opérationnel, il souhaitait parler d’une solution stratégique plus large : la collaboration.
“Une partie de la solution au problème consiste à comprendre que nous avons une responsabilité collective”, a déclaré Garcia.
La santé est un service public
Le gouvernement, par décret, dépend du secteur de la santé en tant que principal propriétaire et exploitant d’infrastructures essentielles pour identifier et atténuer collectivement les menaces systémiques qui affectent la capacité à fournir des actifs et des services essentiels dont le public dépend.
En 2017, la santé et les services sociaux des États-Unis ont convoqué un groupe de travail sur la cybersécurité de l’industrie de la santé d’un an qui a produit six impératifs majeurs, 24 recommandations et 105 mesures à prendre pour remédier au manque de ressources de sécurité et aux vulnérabilités, selon la présentation de Garcia.
Ce qui est né de cet effort est le Conseil de coordination du secteur de la santé (HSCC), l’un des 16 groupes consultatifs spéciaux identifiés par le gouvernement pour servir les secteurs critiques, afin de résoudre des problèmes tels que les cyberattaques, a-t-il déclaré.
Le HSCC travaille en étroite collaboration avec la HHS Administration for Strategic Preparedness and Response, le HHS Office of the Chief Information Officer et la Food and Drug Administration.
Dans l’écosystème de la santé, “chaque nœud est vulnérable aux attaques”, a-t-il déclaré.
“L’infrastructure essentielle est un service public. Donc, vous êtes tous des fonctionnaires, que vous soyez à but lucratif ou non lucratif, c’est ce que vous êtes.”
Le conseil, fort de 732 membres, a créé un certain nombre de ressources qui, selon Garcia, étaient librement accessibles à l’industrie – et impératives.
“Ceux-ci doivent être mis en œuvre. Ce ne sont pas des étagères.”
Garcia a déclaré qu’une partie de la responsabilité collective consiste à utiliser les boîtes à outils et les ressources du HSCC pour se concentrer sur les recommandations et les actions et pour se joindre à l’effort.
“Aucun de nous individuellement n’est aussi intelligent que nous tous collectivement”, a déclaré Garcia.
Garder la vue sur l’horizon
Garcia a indiqué qu’un livre blanc sur les applications d’intelligence artificielle et les cyberrisques dans les soins de santé sera bientôt publié avec le guide de mise en œuvre du cadre de cybersécurité du NIST pour l’industrie de la santé, qui est un projet conjoint avec le HHS.
“Nous avons maintenant un guide qui explique comment l’industrie de la santé doit spécifiquement mettre en œuvre le cyber-cadre du NIST”, a-t-il déclaré.
Le HSCC publiera également le mois prochain le Legacy Medical Device Cybersecurity Management Guide, qui, selon Garcia, était une réalisation dans la recherche d’un consensus.
Le plan conjoint de sécurité des dispositifs médicaux et de l’informatique de santé, publié en 2019, faisait suite à la recommandation du groupe de travail sur la cybersécurité de l’industrie des soins de santé émise en juin 2017 et appelait à une stratégie intersectorielle pour renforcer la cybersécurité des dispositifs médicaux.
“Cela représente bien plus de 100 pages martelées deux fois par semaine, une heure à chaque réunion, depuis un an et demi – des discussions et des négociations entre les fabricants d’appareils et [healthcare organizations] sur la responsabilité partagée de la cybersécurité pour les dispositifs médicaux hérités. »
Garcia a déclaré qu’au cours de ses années au sein du Département de la sécurité intérieure, de la CISA et d’autres rôles d’organisation politique et industrielle, il a vu combien de secteurs se sont organisés, ou ne s’organisent pas de manière appropriée, pour cette mission.
“J’ai vu un regain d’élan et d’énergie dans le secteur de la santé au cours des cinq dernières années. La première étape vers une solution est la suivante : reconnaissez que vous avez un problème. Nous reconnaissons que nous avons ce problème. Il commence maintenant à se manifester comme toutes les mains sur le pont. Je le vois et ça m’énerve.
Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : [email protected]
Healthcare IT News est une publication HIMSS.
