Il y a un peu plus d’un an, North Country Healthcare s’appuyait sur un accès VPN pour chaque fournisseur, ce qui a conduit à ce que son directeur de l’information a décrit comme un autre morceau de papier avec des identifiants de connexion à l’air libre sur les bureaux des gens.
LE PROBLÈME
En tant que centre de santé à but non lucratif agréé par le gouvernement fédéral, le NCHC dessert 12 communautés du nord de l’Arizona et s’est considérablement développé au cours des dernières années pour répondre aux besoins de santé de la communauté.
Travaillant désormais avec une centaine de prestataires et desservant 50 000 patients par an, il a dû s’associer à davantage de fournisseurs de technologies pour continuer à fournir des soins et des services de qualité à sa communauté en pleine expansion.
« Je me demandais constamment qui avait les informations d’identification pour accéder à notre environnement », a déclaré Jon Smith, CIO au NCHC. “Avec l’accès VPN, il est difficile de localiser et de surveiller les identifiants utilisés, qui les utilise, à quoi ils ont accès et de gérer quand ils doivent expirer. Vous pouvez mettre en place certaines restrictions, mais avec un VPN, vous n’ont toujours pas un contrôle total sur l’accès des tiers.”
Par rapport à d’autres industries, le secteur de la santé subit davantage de cyberattaques, avec des violations médicales en hausse de 55 % en 2020 et le coût moyen d’une violation allant de 7 millions de dollars à 15 millions de dollars. Ainsi, une organisation à but non lucratif comme la NCHC n’a aucune marge d’erreur.
“Bien versé dans la cybersécurité avant de rejoindre NCHC, je savais que la plupart de ces violations commençaient par des fournisseurs tiers, en particulier ceux qui fournissent des services informatiques gérés”, a déclaré Smith. « En même temps, le NCHC est un centre de santé à but non lucratif avec des ressources internes limitées, et nous comptons sur des fournisseurs tiers. J’ai rapidement réalisé que nous devions mettre en œuvre une meilleure solution de gestion des accès des fournisseurs pour assurer la sécurité du NCHC alors que nous continuons à croître.
PROPOSITION
Initialement, le NCHC travaillait à découvrir un moyen d’améliorer l’accès VPN. Les membres du personnel travaillaient 80 heures par semaine juste pour rester au top de la gestion des accès et de la sécurité de l’organisation. Comme la plupart des responsables informatiques, Smith reçoit généralement des centaines d’arguments de fournisseurs de technologies qui remplissent sa boîte de réception et sa messagerie vocale. Lorsqu’il a entendu ce que SecureLink avait à offrir, il a demandé une démo.
“Maintenant, non seulement nous contrôlons l’accès et les informations d’identification, nous avons également été en mesure de configurer l’accès de chaque individu à un niveau si granulaire basé sur le principe du moindre privilège, que nous ne sommes plus préoccupés par les abus des utilisateurs leur accès à ce diplôme.
Jon Smith, North Country HealthCare
« SecureLink n’était pas l’amélioration de l’accès VPN que nous recherchions au départ », a-t-il expliqué. “Au lieu de cela, cela élimine complètement le problème de la vulnérabilité VPN. SecureLink a proposé sa solution d’accès réseau zéro confiance pour les tiers, qui commence par l’hypothèse que les individus sont une menace – plutôt que de confiance – et sont traités en conséquence.
“L’accès au réseau du fournisseur est fourni sur une base de moindre privilège, ce qui signifie que nos fournisseurs n’auraient accès qu’à ce dont ils ont besoin, quand ils en ont besoin et rien de plus”, a-t-il poursuivi. « La solution fournirait un accès au réseau basé sur le principe de confiance zéro et accorderait des contrôles et des autorisations granulaires NCHC avec la possibilité de restreindre l’accès à distance des tiers uniquement à l’application dont ils ont besoin et rien de plus, ce que j’ai trouvé très attrayant.
De plus, avec la solution proposée, le NCHC pourrait stocker et injecter des informations d’identification pour éviter d’avoir à partager des noms d’utilisateur et des mots de passe avec des représentants tiers, éliminant ainsi le risque associé au suivi des informations d’identification sur des notes autocollantes, a-t-il ajouté.
RELEVER LE DÉFI
Après le processus de configuration initiale, SecureLink a presque immédiatement éliminé les problèmes de « note collante » avec les fournisseurs. N’ayant plus accès au VPN, les fournisseurs de NCHC n’avaient plus à noter les mots de passe VPN partagés.
De plus, étant donné que les fournisseurs de NCHC se connectaient désormais à SecureLink au lieu de se connecter directement aux systèmes de NCHC, l’organisation fournisseur pouvait ajouter une couche de sécurité supplémentaire avec des mots de passe plus complexes.
« De plus, le processus intuitif d’intégration des fournisseurs de SecureLink a rapidement libéré notre équipe d’administration pour qu’elle puisse s’attaquer à d’autres problèmes urgents », a noté Smith. « Maintenant que le NCHC peut indiquer les dates d’expiration des comptes et suivre l’activité des fournisseurs, il nous est très facile de savoir qui accède à quels systèmes NCHC et, plus important encore, qui ne l’est pas. »
L’accès à distance basé sur le Web du fournisseur de sécurité réduit considérablement le risque de violation par un tiers tout en rationalisant la gestion de l’accès des fournisseurs de NCHC, a-t-il déclaré.
« En plus de fournir à NCHC les outils pour contrôler et isoler de manière granulaire l’accès des tiers, la solution prend également en charge toutes les exigences de connectivité de nos tiers : RDP, SSH, Telnet, VNC, ainsi que tous les protocoles TCP ou UDP et tous les outils natifs. que le fournisseur tiers peut avoir », a-t-il expliqué. « C’est une solution complète de sécurité d’accès à distance qui utilise un modèle de confiance zéro pour protéger notre réseau contre l’exposition potentielle des données.
“Nous avons efficacement sécurisé l’accès à nos dossiers de santé électroniques, à nos partenaires de gestion des applications et de gestion des dossiers, et à des portions segmentées de notre réseau local à nos partenaires de réseau géré et à notre partenaire de sécurité physique”, a-t-il ajouté. « Chaque fois que nous avons besoin de quelqu’un pour y accéder, même pour une courte période, nous savons que cela sera fait en toute sécurité et enregistré. »
RÉSULTATS
Lorsque le NCHC s’appuyait sur l’accès VPN pour sécuriser son réseau, il n’était pas en mesure de surveiller les comptes pour savoir quand les informations d’identification du fournisseur devaient expirer. Désormais, plus de la moitié des comptes créés ont expiré.
De plus, les vendeurs associés à ces comptes n’ont pas demandé le renouvellement de leurs identifiants. Ceci est bénéfique du point de vue de la sécurité pour le NCHC car il sait que ces informations d’identification ne sont plus disponibles pour être utilisées.
“Maintenant, non seulement nous contrôlons l’accès et les informations d’identification, nous avons également été en mesure de configurer l’accès de chaque individu à un niveau si granulaire basé sur le principe du moindre privilège, que nous ne sommes plus préoccupés par les abus des utilisateurs leur accès à ce diplôme », a déclaré Smith.
« Nous avons également pu identifier les services essentiels à la mission et nous assurer qu’ils ne sont accessibles qu’en dehors des heures de production, ou que l’accès est demandé s’il est nécessaire pendant les heures de production. »
CONSEILS POUR LES AUTRES
“Vous devez être pleinement conscient des risques associés à l’utilisation de mesures de sécurité telles que les VPN par rapport à l’accès au réseau de confiance zéro”, a conseillé Smith. « Les fournisseurs de technologies externalisées sont généralement des contrats à court terme avec des organisations de soins de santé, et ce n’est pas parce que leur travail est terminé qu’ils vont se débarrasser en toute sécurité de leurs informations d’identification. »
Un niveau de sécurité supplémentaire pour limiter ces informations d’identification, en termes d’accès aux informations et de durée d’accès, concerne des informations aussi sensibles que les dossiers et systèmes médicaux.
“Lorsque vous externalisez des solutions d’infrastructure, cela doit être accompagné d’une sécurité élaborée pour protéger l’infrastructure interne de l’organisation”, a-t-il déclaré. « Vous ne réalisez peut-être pas le risque de cybersécurité au sein de votre organisation, mais en regardant des cas récents comme l’attaque de ransomware sur Eskenazi Health, vous verrez que cela peut arriver n’importe où si vous n’êtes pas préparé aux menaces dès le début.
“Cette technologie est vraiment une technologie qui résout complètement l’un des risques les plus importants d’une organisation et offre en même temps à votre organisation la possibilité d’auditer tous les accès externes”, a-t-il conclu.
Twitter: @SiwickiHealthIT
Envoyez un courriel à l’auteur : [email protected]
Healthcare IT News est une publication de HIMSS Media.
