Connect with us

Technologie

La conformité et la gestion des appareils sont un défi pour les cyber-équipes du NHS

Published

on


Bien que le NHS ait fait des pas de géant en matière de cybersécurité depuis l’incident WannaCry de 2017, les complexités de la conformité et de la gestion des appareils créent toujours des lacunes de sécurité importantes et potentiellement critiques, selon les résultats d’une série de demandes d’accès à l’information (FoI) par Armis, spécialiste de la visibilité et de la gestion des actifs.

Sur plus de 80 fiducies du NHS à travers le pays qui ont répondu aux questions de l’entreprise, 14% des répondants n’ont pas été en mesure de démontrer leur conformité à la boîte à outils de sécurité et de protection des données (DSPT) du service de santé, 46% ne se sont pas conformés au programme Cyber Essentials du National Cyber Security Centre et 62% ne se sont pas conformés à Cyber Essentials Plus.

En outre, 37 % ne se conformaient pas à la directive européenne sur la sécurité des réseaux et de l’information (NIS) et plus des deux tiers (67 %) des NHS Trusts n’étaient pas conformes à la norme ISO27001.

Bien que la grande majorité (85%) des NHS Trusts aient été en mesure d’identifier tous les dispositifs, y compris médicaux, sur leurs réseaux, 41% n’avaient pas de registre des risques en temps réel relatifs à ces actifs, et un peu moins d’un tiers n’identifiait ni ne surveillait les dispositifs médicaux utilisés pour la gestion à distance des patients – ce qui est préoccupant à la lumière de l’augmentation prévue des dépenses en dispositifs de santé connectés.

« Nhs Trusts fait de son mieux face à des défis extraordinaires, mais malheureusement, la liste des défis ne cesse de s’allonger », a déclaré Conor Coughlan, directeur général pour l’Europe, le Moyen-Orient et l’Afrique (EMEA) chez Armis.

« Le rôle de la technologie est évidemment critique, mais ses vulnérabilités ont également été exposées par de mauvais acteurs sans scrupules qui, malheureusement, estiment que le ciblage des services de santé est acceptable. De WannaCry en 2017 aux récentes attaques de ransomware en Irlande, la nécessité de défendre les systèmes et les appareils dans les hôpitaux est évidente.

« En tant qu’IoMT [the internet of medical things] prolifère, gagner en visibilité et en compréhension de ces appareils est primordial car sans technologie spécialisée, la visibilité sur les parcs d’appareils peut être aussi faible que 60% », a déclaré Coughlan.

Correction de threadbare

La série de demandes foI effectuées par Armis a révélé d’autres failles de sécurité autour des dispositifs médicaux critiques exécutant des logiciels obsolètes ou non pris en charge.

Parmi les fiducies qui n’ont pas retené leurs réponses, seulement 37 % pouvaient dire qu’aucune partie de leur parc de dispositifs médicaux ne fonctionnait sur des logiciels en fin de vie ou non pris en charge, tandis que 16 % ont déclaré qu’ils géraient plus d’un dixième de leur succession sur un ancien code.

Plus encourageant, cependant, environ un tiers des répondants ont compris la nécessité de séparer leur trousse médicale du réseau organisationnel principal, et un nombre similaire a déclaré que la majorité de leurs dispositifs médicaux étaient séparés, bien que cela laisse près de 30% qui ne séparent aucun de ceux-ci – un risque énorme qui laisse la porte ouverte à une cyberattaque qui pourrait entraîner des décès.

« La gestion des appareils peut être une tâche complexe et devient donc une question de contexte et de capacité à accepter certains risques en toute confiance. La clé ici est que les administrateurs système disposent de toutes les informations sur les appareils, les menaces connues et l’état d’entre eux sur leurs cycles de vie de support afin de pouvoir porter ces jugements rapides et résoudre rapidement les problèmes », a déclaré Sumit Sehgal, directeur stratégique du marketing produit d’Armis.

« Avoir ce niveau de connaissances, adapté à leurs exigences de conformité, aidera à mettre NHS Trusts dans la meilleure position pour se défendre dans un contexte d’augmentation des dispositifs médicaux et des attaquants attendant de les exploiter. »

Computer Weekly a contacté NHS Digital pour commenter cet article, mais l’organisation n’avait pas répondu au moment de la publication.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance