Connect with us

Technologie

L’honnêteté est la meilleure politique : forger une culture de sécurité dans le NHS

Published

on


Plus tôt en 2020, alors que la première vague de la pandémie de coronavirus Covid-19 faisait rage, la communauté de la sécurité n’a pas tardé à mettre en garde contre le risque pour les organisations de soins de santé de cyber-criminels, et ils ont eu raison de le faire.

Le risque était très réel et a eu un incident similaire à WannaCry frappé le service de santé au plus fort de la première vague de la pandémie, les résultats pour le NHS, où le risque de défaillance informatique porte le risque de décès, aurait pu être catastrophique.

Dans un discours prononcé en septembre 2020, le PDG sortant du National Cyber Security Centre (NCSC) du Royaume-Uni, Ciaran Martin, a décrit la perspective d’une attaque substantielle – en particulier une attaque ransomware – contre le NHS au plus fort de la pandémie au printemps comme quelque chose qui avait causé de nombreuses nuits blanches.

Heureusement, ce scénario n’est jamais venu à passer, mais que ce soit par une combinaison de bonne planification de la sécurité et la pratique dans le sillage de WannaCry, la chance pure muette, ou l’apparente « bienveillance » des cybercriminels, il est trop tôt pour dire, ou alors dit Sam Shah, ancien directeur de la transformation numérique au NHSX.

« Je ne pense pas nécessairement que tout cela ait été dans la planification et la préparation, mais ce sont probablement dans une certaine mesure les décisions prises par ceux qui y pensaient, ce qui signifiait que les cybercriminels n’allaient pas pour les hôpitaux et les organisations de soins de santé », dit-il, en réfléchissant sur les derniers mois.

« Je pense qu’il est important que nous reconnaissions que les risques et les menaces existent toujours, et c’est pourquoi nous devons poursuivre le travail pour éviter que cela ne se produise à l’avenir, car cela pourrait se reproduire. »

Une histoire d’amélioration

Depuis les désastreuses attaques WannaCry de 2017, le NHS a versé des ressources dans la cybersécurité et par de nombreuses mesures cela a été un succès. Les statistiques obtenues par Comparitech plus tôt en 2002 en vertu de la Loi sur la liberté de l’information (FoI), par exemple, a constaté que l’incidence des attaques ransomware contre le NHS a chuté de façon spectaculaire au cours des deux dernières années.

« Uelque chose s’est passé en relation avec cyber, dit Shah Computer Weekly dans une interview menée peu de temps après qu’il a parlé à CybSafe PeepSec 2020 événement. « a première est que autour du moment où NHSX a été formé, nous avons eu, bien sûr, les conséquences de WannaCry. Il y a une reconnaissance de ce qui peut arriver quand quelque chose comme ça affecte le secteur public, donc je dirais certainement que la sensibilisation à l’importance de la cybersécurité a été élevée et soulevée à ce moment-là.

L’alimentation continue au goutte-à-goutte des incidents de cybersécurité à l’extérieur du NHS a également eu un impact en termes de renforcement de la compréhension du public du paysage des risques.

« Culturellement, il y a eu un changement, tant dans la société, chez les cliniciens que dans la profession numérique, en ce qui a autour des risques pour la sécurité et des raisons pour lesquelles ils sont importants », dit Shah.

Ces risques sont particulièrement pertinents dans le domaine des soins de santé pour une raison évidente : se tromper en matière de sécurité pourrait entraîner des décès. En effet, depuis la conversation avec Shah, cela peut maintenant tragiquement se sont produits dans un hôpital allemand.

« Vous pourriez penser que cela semble extrême, mais étant donné que nous dirigeons maintenant une grande partie de notre technologie médicale sur les infrastructures connectées et utilise Internet, tout cela est exposé et à risque des mêmes menaces qui pourraient affecter d’autres parties du monde ou le système », dit Shah.

« Le NHS et ceux qui y sont liés ont certainement pris la cybersécurité beaucoup plus au sérieux. Culturellement, la société s’attend probablement à ce que nous la prenions plus au sérieux. Maintenant, il y a clairement beaucoup de travail à faire et il y a beaucoup plus qui doit se produire autour de l’augmentation du profil de celui-ci, pourquoi il est important et pourquoi il est important pour la sécurité clinique, mais c’est mieux qu’il ne l’était.

Passer à autre chose

Depuis qu’il a été interviewé pour la dernière fois par Computer Weekly en mai 2019, peu de temps avant la création officielle du NHSX, Shah est passé de la minutie quotidienne de la technologie NHS à des rôles ayant des implications plus larges pour les soins de santé.

Il a d’abord entrepris un bref passage au Département du commerce international, mais a maintenant créé la Faculté pour la santé de l’avenir aux côtés du College of Medicine and Dentistry de l’Université d’Ulster, dans le but d’effectuer la transformation numérique dans le secteur plus large des soins de santé, avec un oeil sur la cybersécurité.

« J’espère que cela signifie que nous allons créer plus de gens dans les systèmes de santé qui ont une meilleure compréhension des changements culturels, ainsi que des changements techniques, qui sont nécessaires pour faire face à cet ensemble émergent de menaces », dit-il.

« De la même manière que les gens distancient maintenant socialement, se lavent les mains d’une manière différente, se comportant d’unede la même manière, le même genre de changement culturel est nécessaire par rapport au cyber.

Risque et responsabilité

Ce changement culturel nécessitera des changements aux plus hauts niveaux des organisations du NHS et jusqu’aux médecins et aux infirmières en première ligne.

Cela sera encore compliqué par la question de savoir exactement qui est responsable de la sécurité. « Dans d’autres secteurs, il y a quelqu’un qui a le rôle d’agent de sécurité, mais souvent dans les soins de santé, ce poste, ainsi que celui de la technologie et du numérique, est donné à la même personne », explique Shah.

Il fait valoir qu’à mesure que le NHS devient davantage axé sur la technologie, cela ne peut tout simplement pas continuer à être le cas, en particulier dans les grandes organisations de soins de santé, qui ont besoin d’une piste de sécurité dédiée avec l’oreille du conseil.

Il dit qu’avant de commencer à améliorer la sécurité sur la ligne de front d’une organisation de soins de santé, il faut d’abord s’assurer que le conseil prend le risque au sérieux, et que la personne qui parle au conseil d’administration n’est pas simplement le décideur informatique, mais un véritable conseiller en sécurité.

« Historiquement, surtout dans le NHS, les DSI, les CDO, les CTO ou toute autre personne numérique n’étaient généralement pas membres du conseil d’administration, et je ne dis pas qu’ils doivent nécessairement l’être, mais ils ont certainement besoin d’avoir accès aux principaux décideurs afin qu’ils puissent à la fois les conseiller et demander la bonne décision », dit-il.

Une fois cela réalisé, la prochaine étape consiste à évaluer à la fois les ressources et le risque qui existent au sein de l’organisation pour déterminer les lacunes en matière de sécurité, suivie d’un exercice de priorisation – tout cela fait d’une manière qui évalue et prend en compte tous les risques pertinents.

Ces risques sont multiples. Par exemple, il y a ceux qui proviennent de la présence de fournisseurs informatiques tiers au sein du NHS, qui ont besoin d’une évaluation continue à mesure que le volume de fournisseurs externes augmente. D’autres sources de risque découlent de l’augmentation du volume de points d’arrivée, car l’énorme mécanisme administratif de base qui alimente les quarts de travail du NHS – comme d’autres employés de bureau l’ont fait – à une culture de travail semi-permanent à distance. Cela, ajoute-t-il, vient s’ajouter à la croissance explosive des dispositifs médicaux connectés.

« Ces risques sont souvent reconnus, mais ils ne sont pas quantifiés. Ce qui est important, c’est qu’ils soient quantifiés d’une manière ou d’une autre parce que cela leur permettra soudainement d’être comparés à d’autres risques dans l’organisation pour déterminer à quel point ils sont pris au sérieux », explique Shah.

« En tant que point de départ, cela doit être pris au sérieux au niveau du conseil d’administration de chaque organisation, et les fiducies et autres organisations doivent être mesurées sur leur capacité à gérer ce type de risque. Maintenant, cela exige aussi des régulateurs de la santé qu’ils changent d’approche.

Sécurité sans honte

En descendant la chaîne, Shah appelle un certain nombre de domaines où le NHS pourrait continuer à améliorer sa culture de sécurité – plus gravement en termes de formation continue en matière de sécurité nécessaire pour le personnel clinique, qui ralentit souvent ou s’arrête complètement pendant les périodes de crise, comme la pandémie.

Bien que la compréhension de la sécurité dans le NHS s’est nettement améliorée, Shah estime que cela est probablement limité aux personnes qu’il décrit comme « numériquement motivé », le personnel plus jeune qui sont plus susceptibles d’être tech-savvy que, par exemple, un chirurgien consultant qui s’est qualifié il ya des décennies et qui peut être brillant dans le bloc opératoire, mais lutte pour allumer leur PC.

« Il y a beaucoup de gens qui ne réalisent probablement pas pourquoi ou comment la sécurité est importante, et cela revient à la pièce culturelle », dit Shah. « Souvent, on me demandait : « Puis-je utiliser ce système de messagerie publique sur ce réseau? », et j’ai expliqué que ce n’est pas seulement le système de messagerie publique, c’est tout ce qui va avec – à quoi il est connecté, à quoi d’autre pourrait s’infiltrer ou fuir et qu’est-ce qui vient avec cela.

« Ce sont ces choses que beaucoup de gens ne comprennent pas, et d’une certaine façon je ne m’attends pas à ce qu’ils le fassent, parce que pourquoi le devraient-ils? Ce ne sont pas des experts. Mais cela signifie que le NHS a besoin de cette expertise et de ce conseil parce que cela améliorerait la sécurité du système.

Il serait facile de préconiser une formation de sensibilisation à la sécurité au sein du NHS doit commencer à partir d’un message fondamental – que se tromper peut être fatale – mais ce n’est pas nécessairement une bonne idée.

« Vous ne voulez pas effrayer les gens et vous ne voulez pas que les gens se sentent comme ils ne devraient pas utiliser la technologie à cause de cette menace, » dit Shah. « Mais il s’agit d’aider à sensibiliser les gens afin qu’ils sachent le genre de choses qu’ils doivent poser, les questions qu’ils doivent poser, la philosophie qu’ils doivent avoir et le changement qu’ils doivent rechercher lors de l’adoption de la technologie. »

C’est pourquoi l’évaluation des risques est si importante au sein du NHS, afin d’habiliter les gens à utiliser les outils numériquesy besoin de faire le travail, mais de telle sorte que ces outils sont approuvés dès le début.

À cette fin, les cliniciens doivent également être encouragés à faire de la « sécurité sans honte », à comprendre les risques et la façon de signaler les incidents potentiels tout en tenant compte de la prévalence du stress et de l’épuisement professionnel au sein du NHS, ce qui peut entraîner un moment d’intridie involontaire de la part d’un médecin frazzled.

« S’ils cliquent sur quelque chose et que quelque chose de mauvais arrive, c’est souvent parce qu’ils essaient simplement de faire leur travail. Nous devons donc créer une culture plus ouverte, une culture où les gens peuvent demander de l’aide et des conseils, sachant qu’ils ne seront pas traités différemment d’une façon ou d’une autre pour avoir demandé ce conseil, et que nous changeons cela et que nous passons d’une culture du blâme à une culture qui vise à réduire les risques, à améliorer les connaissances et, en fin de compte, à améliorer la sécurit », dit Shah.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending