La Cybersecurity and Infrastructure Security Agency a publié de nouvelles directives destinées aux organisations communautaires à but non lucratif à haut risque et aux autres organisations communautaires aux ressources limitées afin d’améliorer leur compréhension et leurs efforts pour atténuer les cybermenaces.
Mais les prochaines élections de 2024 pourraient avoir un impact énorme sur les efforts plus larges de la CISA, y compris les cyberexercices nationaux récemment achevés sur la protection des données, pour remédier aux lacunes de sécurité dans plusieurs secteurs critiques, a rapporté la directrice Jen Easterly au Sénat la semaine dernière.
POURQUOI EST-CE IMPORTANT
Étant donné que les organisations de la société civile, parmi lesquelles certaines organisations de soins de santé, sont « mal préparées et vulnérables » aux tentatives d’ingénierie sociale et à d’autres cybermenaces courantes, la CISA a co-écrit « Mitigating Cyber Threats with Limited Resources: Guidance for Civil Society » publié le 14 mai.
Grâce à la compilation des meilleures pratiques, la CISA et ses coauteurs nationaux et internationaux chargés de l’application de la loi et des agences de sécurité espèrent aider les organisations de la société civile qui ont tendance à s’appuyer sur des canaux de communication non sécurisés et qui ont une faible capacité de défense.
“Ces organisations manquent de support informatique interne et d’une cyberhygiène essentielle pour prévenir toute possibilité d’activité malveillante (par exemple, gestion du cycle de vie, gestion des correctifs, authentification multifacteur, gestion des mots de passe)”, ont-ils déclaré.
Les actions et mesures d’atténuation recommandées pour ces organisations vulnérables sont liées aux cours CISA et à d’autres ressources, comme la ligne d’assistance sur la sécurité numérique d’Access Now, qui offre aux organisations civiles une assistance 24h/24 et 7j/7 en neuf langues. Elle répond dans deux heures, selon le site Internet de l’organisation « de la base au monde ».
Cependant, pour protéger davantage les communautés vulnérables et à haut risque contre les cyberattaques, les agences recommandent également aux fournisseurs de s’engager publiquement à adopter des pratiques Secure by Design.
« Cet engagement implique d’adopter les principes de Secure by Design, notamment (1) assumer la responsabilité des résultats en matière de sécurité des clients, (2) adopter une transparence radicale et une responsabilité inébranlable et (3) diriger depuis le haut et mettre en œuvre un leadership descendant pour conduire des changements transformateurs visant à donner la priorité à la sécurité à chaque étape du développement et du déploiement de logiciels”, ont déclaré CISA et ses coauteurs dans le nouveau guide.
Ils recommandent aux éditeurs de logiciels de s’efforcer d’éliminer les vulnérabilités des produits, d’activer l’authentification multifacteur par défaut, de signaler les comportements réseau suspects à leurs clients et de configurer des alertes pour les configurations dangereuses.
En plus de soutenir les organisations vulnérables à faibles ressources, la CISA s’est concentrée sur les organisations disposant de meilleures ressources dans des secteurs critiques.
Le mois dernier, l’agence a organisé des exercices nationaux de préparation à la cyberattaque Cyber Storm IX, qui ont donné à plus de 2 200 participants l’occasion de tester leur réponse aux cyberattaques sur les ressources cloud. L’exercice cyber périodique national de synthèse rassemble les secteurs public et privé pour simuler et rendre compte de la réponse à une cyber-crise affectant les infrastructures critiques du pays.
Les participants aux exercices précédents en 2020 et 2022 comprenaient des fournisseurs comme Cleveland Clinic, HCA Healthcare et le système de santé de l’Université du Kansas, des fournisseurs de services informatiques de santé comme Nuance, Siemens et Cisco, des sociétés de sécurité comme CrowdStrike et des entités de coordination comme HHS et le Health Information Sharing and Analysis Center. .
L’exercice de cette année “était centré sur l’exploitation par des adversaires de mauvaises configurations courantes des environnements cloud pour provoquer divers impacts sur la confidentialité, l’intégrité et la disponibilité des données”, a déclaré Easterly dans son récapitulatif de l’événement du 16 mai.
Bien que le secteur de la santé soit actuellement assiégé par divers groupes de ransomwares cherchant à profiter de pannes majeures du système, comme une cyberattaque débilitante ALPHV obligeant la société mère UnitedHealth Group à reconstruire les systèmes Change Healthcare avec une sécurité basée sur le cloud et une attaque présumée de ransomware Black Basta sur des non-utilisateurs. Profit Ascension, 2024 présente un obstacle supplémentaire en matière de cybersécurité que l’agence doit franchir.
Easterly a déclaré à la commission spéciale du Sénat sur le renseignement, lors d’une audition le 15 mai sur les menaces étrangères pesant sur les prochaines élections, que, même si les environnements des réseaux électoraux américains sont plus sécurisés que jamais, « l’environnement des menaces d’aujourd’hui est plus complexe que jamais ».
“Nous ne pouvons pas faire preuve de complaisance”, a-t-elle déclaré dans sa déclaration d’ouverture, soulignant que “la CISA fournit plus de services dans plus de juridictions que jamais auparavant”.
LA PLUS GRANDE TENDANCE
Des années de violations majeures ont provoqué de longues interruptions de soins et des détournements de soins qui mettent les patients en danger, poussant le gouvernement à agir.
Suite à la publication d’une stratégie nationale de cybersécurité l’année dernière, le ministère américain de la Santé et des Services sociaux a présenté sa stratégie de cybersécurité des soins de santé, avec quelques réticences de la part de l’American Hospital Association et d’autres groupes.
En plus des nouveaux objectifs volontaires de performance en matière de cybersécurité, le HHS a déclaré qu’il collaborerait avec le Congrès pour créer des incitations visant à améliorer les performances en matière de cybersécurité des hôpitaux nationaux et qu’il exigerait davantage de responsabilité et de coordination avec le secteur de la santé.
Dans une lettre adressée jeudi au secrétaire du HHS, Xavier Becerra, le groupe de travail pour l’échange de données informatisées a appelé le gouvernement fédéral à créer un bureau de politique nationale de cybersécurité dirigé par un nouveau « tsar de la cyberpolitique » et a proposé plusieurs autres recommandations pour aider à coordonner et diriger la cyber-réponse nationale
WEDI a demandé au HHS et à d’autres agences fédérales de faire davantage pour aider les systèmes de santé à maintenir leurs opérations et à atténuer les conséquences des cyberattaques réussies en garantissant des capacités d’échange d’informations.
En plus des efforts de la CISA et du HHS, Anne Neuberger, conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, s’est concentrée sur la cybersécurité des soins de santé par le biais de plusieurs agences fédérales.
Plus tôt ce mois-ci, le Healthcare Leadership Council a rencontré le conseiller adjoint à la sécurité nationale pour une discussion officieuse sur la cybersécurité.
“Nous apprécions la franchise de Mme Neuberger et sa volonté de collaborer avec les dirigeants du secteur de la santé sur cette priorité essentielle, et nous sommes impatients de travailler avec l’administration pour renforcer la résilience du secteur de la santé et promouvoir la sécurité des patients”, a déclaré le conseil dans un communiqué en ligne.
SUR LE DOSSIER
“Ce guide, ainsi que le [HHS] Les objectifs de performance en matière de cybersécurité peuvent aider les hôpitaux aux ressources limitées à prioriser les pratiques de cybersécurité et à élaborer une feuille de route pour leur mise en œuvre », a déclaré John Riggi, conseiller national de l’AHA pour la cybersécurité et les risques, dans un communiqué.
Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : [email protected]
Healthcare IT News est une publication HIMSS Media.
