5 façons dont les hôpitaux peuvent contribuer à améliorer leur sécurité IoT

Les appareils médicaux connectés ont révolutionné les soins et l’expérience des patients. Cependant, l’utilisation de ces appareils pour gérer des tâches cliniques et opérationnelles en a fait une cible pour les attaquants cherchant à tirer profit des données précieuses des patients et à perturber les opérations. En fait, lorsque Palo Alto Networks a analysé plus de 200,000 XNUMX pompes à perfusion sur les réseaux d'hôpitaux et d'autres organismes de santé, il a découvert que 75 % de ces pompes à perfusion avait au moins une vulnérabilité ou une alerte de sécurité.

En plus d'être difficiles à protéger, ces appareils connectés présentent des défis lorsqu'il s'agit de se conformer aux exigences de sécurité de lois telles que la Health Insurance Portability and Accountability Act (HIPAA). Heureusement, il existe plusieurs stratégies que les hôpitaux peuvent exploiter pour renforcer leurs défenses. Voici cinq façons concrètes par lesquelles les hôpitaux peuvent contribuer à sécuriser les dispositifs médicaux et à prodiguer des soins vitaux aux patients sans interruption.

1. Maintenir une visibilité vigilante

Le développement d'un approche de sécurité Zero Trust (ZT) est essentiel pour se défendre contre les attaques sophistiquées d'aujourd'hui, mais la première étape consiste à établir une visibilité complète de tous les actifs du réseau. Les équipes InfoSec et Biomed ont besoin d'une image complète de tous les actifs utilisés sur le réseau d'un hôpital et du nombre d'appareils médicaux connectés pour avoir une compréhension claire de leurs points de vulnérabilité. Ensuite, les équipes doivent aller au-delà du niveau de l’appareil en identifiant les principales applications et composants clés qui s’exécutent sous le système d’exploitation pour réellement appliquer une approche ZT. Par exemple, avoir un aperçu de diverses applications telles que dossiers de santé électroniques (DSE), systèmes d'archivage et de communication d'images (PACS) qui traitent les données d'imagerie numérique et de communications en médecine (DICOM) et de Fast Healthcare Interoperability Resources (FHIR), ainsi que d'autres applications critiques pour l'entreprise, peuvent améliorer la visibilité globale des actifs.

2. Identifier les expositions des appareils

De nombreux appareils sont liés à différentes vulnérabilités qui se répartissent en deux catégories : les expositions statiques et dynamiques. Par exemple, les expositions statiques consistent généralement en vulnérabilités et expositions communes (CVE) qui peuvent être traitées indépendamment. En revanche, les expositions dynamiques peuvent être constatées dans la manière dont les appareils communiquent entre eux et dans l’endroit où ils envoient des informations (au sein de l’hôpital ou à des tiers), ce qui les rend plus difficiles à identifier et à traiter. Heureusement, l’IA et l’automatisation joueront un rôle de plus en plus important en aidant les hôpitaux à identifier ces expositions en fournissant des informations basées sur les données et des recommandations proactives sur la manière d’y remédier plus efficacement.

3. Mettre en œuvre une approche Zero Trust

Une fois que les hôpitaux ont une compréhension claire de leurs actifs et de leurs expositions, ils peuvent adopter une approche ZT en limitant l'accès aux appareils et applications vulnérables. En séparant les appareils et les charges de travail en micro-segments, les administrateurs peuvent mieux gérer les politiques de sécurité basées sur accès au moindre privilège. Cela peut aider les hôpitaux à réduire leur surface d'attaque, à améliorer le confinement des violations et à renforcer la conformité réglementaire en plaçant les appareils sur différents segments avec des exigences et des contrôles de sécurité différents. Par exemple, si un ordinateur est compromis au sein d’un hôpital, la microsegmentation peut limiter les dommages causés à cet appareil spécifique sans avoir d’impact sur les appareils médicaux essentiels aux soins des patients.

4. Déploiement de correctifs virtuels pour les systèmes existants

Les dispositifs médicaux sont généralement utilisés dans les hôpitaux depuis plus d’une décennie et, à ce titre, fonctionnent souvent sur des logiciels et des systèmes existants. En raison de leurs exigences d'utilisation, les hôpitaux peuvent ne pas être en mesure de mettre à niveau ou de corriger le système médical spécialisé, ce qui peut entraîner divers problèmes de sécurité uniques. De plus, les hôpitaux peuvent ne pas avoir les moyens de mettre les appareils hors ligne pour les mettre à jour ou les appliquer en raison des risques de perte de soins pour le patient. À mesure que les hôpitaux adoptent une approche ZT, ils peuvent investir dans d'autres formes de protection, telles que patching virtuel pour réduire l’exposition aux dispositifs médicaux. Par exemple, des outils tels que les pare-feu de nouvelle génération peuvent appliquer des défenses autour des couches réseau et applicatives de l'appareil sans avoir besoin de toucher physiquement l'appareil.

5. Instaurer la transparence dans l'ensemble de l'écosystème

La communication et la transparence sont essentielles pour prévenir les menaces dès le départ. Les OSC des hôpitaux et les équipes InfoSec doivent être incluses dans le processus d'achat d'appareils, car elles offrent une perspective critique sur la meilleure façon de protéger les appareils tout au long de leur cycle de vie. Les hôpitaux, les équipes de sécurité, les fournisseurs et les fabricants d'appareils doivent travailler ensemble pour créer des solutions et des stratégies qui maintiennent la sécurité au premier plan de la défense d'un dispositif médical. Historiquement, lorsque les hôpitaux sont attaqués, les équipes de sécurité travaillent ensemble pour se défendre contre les attaquants. Cependant, après l'attaque, les informations restent entre les équipes de sécurité et les hôpitaux, avec très peu d'informations (voire aucune) retournant pour informer le fabricant de l'appareil sur la manière dont il peut améliorer la sécurité de son appareil. Les hôpitaux doivent être plus proactifs lorsqu’il s’agit de partager des commentaires directs avec les fabricants d’appareils sur les domaines à améliorer.

En fin de compte, à mesure que les politiques de cybersécurité continuent d’évoluer pour les dispositifs médicaux, il existe des moyens de créer des solutions pour résoudre les défis de sécurité actuels et futurs. Quelles que soient les inconnues, nous pouvons déployer des efforts plus proactifs pour garantir une approche de sécurité orientée vers la gauche et favoriser une culture de cyber-résilience pour la communauté médicale.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/dr-tech/5-ways-hospitals-can-help-improve-their-iot-security