Providence, basée à Seattle, a été forcée d’apprendre rapidement au printemps 2020, l’État de Washington étant l’un des premiers points chauds des États-Unis alors que le SRAS-CoV-2 se propage. Le système de santé a rapidement mis en place un éventail de nouvelles innovations cliniques pour faire face à l’urgence de santé publique et a fait pivoter ses outils destinés aux consommateurs pour l’aider à gérer sa réponse au COVID-19.
Le système de santé était bien placé pour faire ces choses, car il était déjà bien engagé dans le processus d’une transformation numérique radicale.
« À l’approche de la pandémie, nous étions déjà sur la voie de l’adoption du cloud, poussant les applications hors de notre approche axée sur les centres de données du passé, notre approche sur site dans le passé, vers cette vision du futur fournie par le cloud “, a déclaré Adam Zoller, responsable de la sécurité des informations de Providence.
Ce faisant, le système de santé « passe d’un modèle centré sur les soins de courte durée, où nous dirigeons les patients vers nos établissements de soins de courte durée, à un modèle où nous allons fournir plus de services dans le sens de la télésanté et de la santé à domicile. visites », a expliqué Zoller.
“Ce que cela signifie, c’est qu’une grande partie de nos reports qui étaient dans ce modèle centré sur les soins aigus vont maintenant devoir adopter des technologies comme la télésanté.”
Cela signifiait également que, alors que la crise du COVID-19 obligeait les hôpitaux et les cliniques à travers le pays à étendre rapidement la télésanté pour les patients et à adopter des plans de travail à distance pour le personnel, Providence avait, à certains égards cruciaux, une longueur d’avance en ce qui concerne sa vie privée et capacités de sécurité.
Il y a plusieurs années déjà, le système de santé travaillait déjà vers une stratégie de sécurité plus agile, basée sur le cloud et tournée vers l’extérieur, a déclaré Zoller, sachant que « afin de sécuriser adéquatement nos données et dans nos systèmes informatiques et notre personnel, nous étions va devoir adopter des stratégies de sécurité qui nous permettent de permettre aux gens d’utiliser des choses comme la télésanté. »
Au HIMSS21 à Las Vegas le mois prochain, Zoller devrait offrir une présentation sur l’expérience de la cybersécurité à l’ère de la pandémie de Providence. Il expliquera comment lui et son équipe ont ajusté leurs stratégies pour gérer les demandes de soins virtuels et de travail à domicile, se sont défendus contre les ransomwares et, espérons-le, se sont positionnés pour un avenir difficile avec des surfaces d’attaque étendues et des attaques incessantes.
Il discutera également de la façon d’élaborer des plans de cybersécurité qui mettent l’accent sur les facteurs humains et pas seulement sur la technologie – une telle approche, dit-il, sera essentielle pour l’atténuation des risques dans cette nouvelle ère de prestation de soins décentralisée et axée sur le cloud et de ransomware endémique. .
« Nous avons dû pousser l’infrastructure de contrôle, l’écosystème, jusqu’au niveau du point de terminaison et adopter une solution cloud native qui a permis à nos soignants de communiquer avec l’environnement de contrôle où qu’ils se trouvent dans le monde, sans avoir à dépendre d’un VPN , a déclaré Zoller.
« Les technologies devraient voyager avec nos soignants sur leurs appareils, au lieu d’avoir à retourner à un centre de données afin d’être sécurisées et de nous donner la visibilité et le contrôle dont nous avons besoin.
« Au cours des deux premiers mois probablement de la pandémie, nous avons publié une politique de télésanté mise à jour et une politique de travail à distance mise à jour pour nos soignants. Ainsi, les politiques et les normes étaient mises à jour, et la pile technologique était mise à jour pour permettre à nos soignants d’aller à distance. “
Adam Zoller, la Providence
Un autre grand changement alors que l’urgence de santé publique prenait de l’ampleur a été “d’introduire rapidement les politiques de télésanté et de travail à distance qui étaient déjà en cours. Celles-ci se sont considérablement accélérées en raison de la pandémie”, a-t-il expliqué.
« Au cours des deux premiers mois probablement de la pandémie, nous avons publié une politique de télésanté mise à jour et une politique de travail à distance mise à jour pour nos soignants. Ainsi, les politiques et les normes étaient mises à jour, et la pile technologique était mise à jour pour permettre à nos soignants d’aller à distance. “
Zoller attribue aux ambitions avant-gardistes des soins virtuels avant la pandémie sa capacité à répondre à la crise avec une expansion sécurisée de la télésanté.
« Si nous ne recherchions pas de manière proactive ces prochaines capacités modernes – si nous ne les évaluions pas et ne les déployions pas déjà, si nous n’avions pas déjà des contrats, des BAA qui ont été signés et toutes ces autres choses – cela aurait pris des mois. avant que nous puissions adopter. Ce serait au milieu d’une pandémie, et cela aurait été vraiment difficile. “
C’est pourquoi, “du point de vue de la sécurité, et vraiment du point de vue de l’écosystème, il incombe vraiment aux équipes de rester en avance sur les développements de capacités et de rester au courant de ce qui se passe dans l’industrie”, a déclaré Zoller.
“Tout le monde ne pourra pas passer de l’application au cloud à la vitesse de Providence”, a-t-il admis. Mais “il y a de meilleures technologies disponibles depuis un certain nombre d’années”. Et trop souvent, a-t-il dit, l’inertie et la complaisance « font que les organisations sont compromises par les ransomwares ».
C’est donc le conseil n°1 de Zoller : “Ne soyez pas complaisant. Essayez de rester au courant des développements du côté technologique de la maison pour simplement comprendre quelles capacités existent pour la stratégie que vous essayez de mettre en œuvre.”
Oh, et au fait, il a ajouté : « Ayez une stratégie !
« Beaucoup d’entreprises n’ont pas de stratégie de cybersécurité documentée au-delà d’une approche technique pour résoudre les problèmes ponctuels – et pas seulement dans le secteur de la santé. J’ai vu cela dans le secteur financier. J’ai vu cela dans le secteur industriel, j’ai vu cela dans la base industrielle de la défense.
« Cette approche technique est souvent : « Le conseil d’administration me pose des questions sur les ransomwares. Je vais simplement mettre en œuvre une technologie qui dit qu’elle combat les ransomwares et je l’appelle un jour ». Il incombe vraiment aux responsables de la technologie et de la sécurité non seulement de communiquer avec le conseil d’administration et de comprendre les préoccupations du conseil d’administration, mais également de comprendre l’orientation de l’entreprise et les risques qui existent dans cette stratégie, et de créer des capacités de sécurité qui s’alignent sur la stratégie commerciale pour réduire les risques. .”
Il est essentiel de “toujours considérer cela comme une fonction de réduction des risques”, a-t-il déclaré, “pas comme un problème technique que je vais résoudre avec la technologie. Prenez du recul et séparez à nouveau les problèmes techniques que vous essayez de résoudre. résoudre et la technologie du problème stratégique réel que vous essayez de résoudre, qui est de réduire les risques.”
Trop souvent, les bases simples sont négligées, a-t-il déclaré. « C’est ce qui compromet les gens : ne pas avoir de solutions d’accès à distance sécurisées, ne pas effectuer de correctifs réguliers. Ce sont les choses qui mènent à ces grandes épidémies de ransomware. Ce n’est rien d’extraordinaire. Ce n’est pas sécurisé dans votre compte d’administrateur de domaine. .
“Si vous pouvez faire cela”, a déclaré Zoller, “vous réussirez dans une pandémie, un tremblement de terre, peu importe, car vous serez préparé à toutes ces choses.”
Zoller en expliquera davantage lors de sa présentation HIMSS21, Votre stratégie de cybersécurité est-elle prête pour une pandémie ? Il est prévu le mardi 10 août de 14h30 à 15h30 au Venetian, Marcello 4501.
Twitter: @MikeMiliardHITN
Envoyez un courriel à l’auteur : [email protected]
Healthcare IT News est une publication HIMSS.
