cyber-2120014_640.jpg
Accueil » Actualités » Cybersécurité sous COVID-19
|

Cybersécurité sous COVID-19



La pandémie de COVID-19 a créé un certain nombre de défis, notamment des risques de cybersécurité. Avant la prochaine crise, la technologie médicale a besoin d’une approche proactive et inhérente à la cybersécurité.

Rétrospectivement, la cybersécurité en 2020 a subi le même sort que bien d’autres choses dans nos vies professionnelles et personnelles : elle est passée au second plan. COVID-19 a conduit l’ordre du jour, directement ou indirectement, et a dépriorisé tout le reste. Il y avait une guerre à mener contre la pandémie, et nous devions faire la guerre avec les armes que nous avions, pas celles dont nous avions besoin.

Il aurait été bien d’avoir pu développer une stratégie omniprésente et proactive pour faire face aux risques de cybersécurité alors que nous déployions la télésanté pour les masses, transférions les employés hors de l’hôpital et dans leurs maisons, créions des sites de collecte et de vaccination dans les parkings, converti des centres de conférence en établissements de soins temporaires et déployé des masses d’appareils dont on a un besoin urgent pour répondre à la demande créée par l’assaut des patients en soins intensifs.

Nous avons dû augmenter la production, souvent dans des usines qui n’avaient jamais construit de dispositifs médicaux, et nous avons dû introduire de nouvelles conceptions de systèmes simplifiés et produits en série. La sécurité est passée au second plan car le virus dictait les priorités – il n’y avait tout simplement pas d’autre choix.

Cette situation désastreuse a créé un certain nombre de défis, notamment des risques cliniques et de cybersécurité. Reconnaissant les dangers qui se sont développés dans l’environnement actuel de stress sans précédent et de changements technologiques rapides, l’Institut de l’ECRI a observé dans sa liste la plus récente des 10 principaux dangers liés aux technologies de la santé le « défi de gestion de la technologie unique en ce moment : la nécessité de gérer de grandes nombre de dispositifs médicaux et de fournitures qui n’ont été autorisés que pour un usage temporaire.

Cela pose à la fois des risques pour la sécurité clinique et la cybersécurité à travers le processus d’autorisation d’utilisation d’urgence (EUA). Il s’agit d’une partie inhérente d’un tel processus d’urgence : nous sommes dans une crise et le risque lié au processus accéléré est généralement considéré comme inférieur au risque dû au fait que les dispositifs, technologies ou médicaments sous-jacents ne sont pas disponibles. Dans les circonstances, nous avons dû arbitrer la minutie du processus contre la rapidité de disponibilité des nouveaux traitements.

Bien que nécessaire pour répondre aux besoins immédiats, il s’agit d’un territoire sans précédent pour les soins de santé. Des directives sont attendues sur la transition de ces dispositifs EUA vers un processus d’approbation préalable à la commercialisation traditionnel et plus approfondi, mais qu’en est-il du temps entre les deux ? Y aura-t-il un examen rétroactif du comportement de ces appareils pour confirmer s’il y avait des vulnérabilités de cybersécurité qui auraient pu être exploitées ? Ou y aura-t-il un précédent réglementaire pour qu’une telle approbation assouplie ait existé sans introduire de risque excessif tout en fournissant de nouvelles technologies plus tôt et donc plus avantageuses ? Étant donné que de nombreux hôpitaux ont déjà du mal avec la gestion des stocks, il semble encore plus difficile pour eux d’identifier quels appareils peuvent continuer à être utilisés sous l’approbation de l’EUA, lesquels ne le sont pas et qui nécessitent une sorte d’action pour les amener à l’état final approuvé. , par exemple, via une mise à jour logicielle.

Maintenant, cependant, il est temps d’apprendre et de se préparer à la prochaine crise. Nous, le secteur de la santé, devons développer une approche beaucoup plus fondamentale de la cybersécurité. Il ne peut pas être réactionnaire – il doit être conçu de manière proactive dans les appareils et faire partie intégrante de nos processus d’ingénierie et de système qualité. Cela ne peut pas être une réflexion après coup car toute approche réactive devra à nouveau céder à la prochaine crise sanitaire et donc finalement échouer.

Une autre leçon de cybersécurité apprise est liée à nos stocks d’urgence. Nous avons appris à nos dépens que notre approvisionnement en médicaments, équipements de protection et appareils de soins intensifs comme les moniteurs de patients, les pompes à perfusion ou les respirateurs était insuffisant. Encore une fois, une opportunité d’amélioration car nous devons développer un meilleur approvisionnement et une meilleure réserve d’urgence au niveau local et national. Pourtant, tout périphérique logiciel stocké pendant peut-être des années doit être prêt à l’emploi. Lors de la prochaine pandémie, ces appareils doivent être distribués efficacement et déployés rapidement. Vous n’aurez pas le temps de mettre à jour les systèmes d’exploitation et de déployer des correctifs. Encore une fois, cela nécessiterait une approche proactive et inhérente à la cybersécurité.

Nous savons que les cyberattaques contre le secteur de la santé sont à la hausse – 2020 a montré une augmentation de 27 % des violations de la santé signalées au département américain de la Santé et des Services sociaux (HHS). COVID-19 n’a accéléré cette tendance qu’à travers des défenses abaissées et une propriété intellectuelle souhaitable, comme la recherche liée au traitement et au développement de vaccins. Malheureusement, les cybercriminels et les attaquants des États-nations utilisent cette opportunité à leur avantage.

A lire également