Ignorer les objectifs de cybersécurité de l'Oncle Sam? Attention à ne pas vous blesser!

Ignorer les objectifs de cybersécurité de l'Oncle Sam? Attention à ne pas vous blesser! est profilé par BTW Media car des preuves publiées le relient à l'infrastructure Internet, à la gouvernance, aux dépendances opérationnelles ou à la visibilité sur le marché.

Les nouveaux objectifs de performance en cybersécurité du gouvernement sont importants pour le service responsable de la sécurité de l'information dans un hôpital américain ou une autre organisation de santé. En janvier, le ministère américain de la Santé et des Services sociaux (HHS) a publié des objectifs de performance en cybersécurité volontaires, spécifiques aux soins de santé (CPG). Il existe deux types d'objectifs: les objectifs de base et les objectifs avancés.

Objectif critique de performance en cybersécurité: si vous êtes responsable de la sécurité de l'information dans un hôpital américain ou une autre organisation de santé, et que vous considérez les nouveaux objectifs de performance en cybersécurité (CPG) « volontaires » du gouvernement comme, disons, volontaires, vous ignorez les signes avant-coureurs. « L'avantage des CPG est qu'ils indiquent où le vent va souffler, et quelles sont les normes et attentes concernant ce sur quoi les organisations devraient travailler », déclare Taylor Lehmann, directeur au Bureau du responsable de la sécurité de l'information de Google Cloud.

« Cela n'arrivera peut-être pas aujourd'hui, mais ce qui figure dans le document du HHS est susceptible de devenir une véritable réglementation finale ou de nouvelles exigences réglementaires ayant force de loi », a déclaré Taylor Lehmann. « Si vous pensez que le caractère volontaire ne signifie pas que vous devez faire quelque chose, vous vous trompez probablement. L'objectif volontaire devient obligatoire, ce qui est souvent le cas pour d'autres réglementations dans le domaine de la santé en matière de sécurité. » La sécurité de l'information reste un défi.

Début janvier, alors qu'un nombre record de 46 réseaux de santé (soit 141 hôpitaux) étaient toujours touchés par des infections par ransomware et des vols de données en 2023, des rumeurs ont circulé selon lesquelles la Maison Blanche exigerait bientôt que les hôpitaux américains respectent des normes de cybersécurité de base avant de recevoir des fonds fédéraux. Pendant cette période, les criminels à l'origine des intrusions ont utilisé des méthodes d'extorsion de plus en plus dangereuses pour forcer les hôpitaux à payer des rançons.

Interrogés sur la réglementation hospitalière, les Centers for Medicare and Medicaid Services (CMS) ont renvoyé Sign-up à un document conceptuel publié en décembre, décrivant la stratégie de cybersécurité du ministère américain de la Santé et des Services sociaux (HHS). Deux objectifs Plus tard en janvier, le ministère de la Santé et des Services sociaux a publié un CPG volontaire spécifique aux soins de santé. Ces objectifs se répartissent en deux catégories, de base et avancés, et chaque catégorie comporte dix mesures spécifiques que vous pouvez prendre pour mieux vous protéger contre les cyberattaques.

L'objectif de base ressemble à des mesures de sécurité élémentaires que l'on espère déjà en place dans les hôpitaux et les cliniques. Mais, selon Taylor Lehmann, elles sont toutes basées sur des attaques et des compromissions réelles. « J'aimerais dire que tout cela est très évident, mais de toute évidence, toutes n'ont pas été rendues publiques », a-t-il déclaré.

Elles incluent l'atténuation des vulnérabilités connues, l'utilisation de l'authentification multifacteur, la mise en œuvre de la sécurité des e-mails, la formation des employés aux comportements sécuritaires, le chiffrement des données sensibles et la révocation des identifiants des employés, sous-traitants et bénévoles lorsqu'ils quittent l'organisation. La planification de la réponse aux incidents de base, l'utilisation d'identifiants uniques, la séparation des comptes utilisateur et privilégiés, et l'évaluation des risques liés aux fournisseurs font tous partie des objectifs de base.

Un autre objectif important, la révocation des identifiants d'un employé lorsqu'il quitte l'entreprise, n'est pas non plus aussi simple qu'il n'y paraît. « Si vous êtes un système de santé universitaire et que vous avez cinq établissements universitaires ou plus, vous ne savez pas quand ces étudiants obtiennent leur diplôme et quand ils partent », a déclaré Lyman.

La confidentialité des données et la protection des informations personnelles identifiables (PII) des patients et des données de santé ont longtemps été considérées comme le seul objectif pour garantir les soins de santé, car le non-respect de la protection des informations confidentielles peut entraîner des difficultés avec les agences gouvernementales. « La disponibilité est aussi importante, voire plus importante, que la confidentialité », a déclaré Lehmann. Il a ajouté que de nombreuses institutions de santé n'ont pas suffisamment évolué pour envisager la sécurité de cette manière.

« Je me soucie de savoir si mes données sont compromises, mais je me soucie encore plus de mourir à cause de cela. »