[ad_1]

En mai, une cyberattaque majeure a paralysé les opérations cliniques d’Ascension, un prestataire de soins de santé qui comprend 140 hôpitaux aux États-Unis, pendant près d’un mois. Les enquêteurs ont attribué le problème à un ransomware malveillant qui a infecté l’ordinateur d’un employé.

Les systèmes de santé constituent des cibles intéressantes pour la cybercriminalité en raison des précieuses données personnelles, financières et de santé qu’ils stockent. Une enquête menée en 2023 auprès de professionnels des technologies de l’information sur la santé et de la sécurité informatique a révélé que 88 % de leurs organisations avaient subi en moyenne 40 attaques au cours de l’année écoulée.

L’une des principales faiblesses était la complexité croissante de leurs systèmes informatiques, explique Hüseyin Tanriverdi, professeur agrégé de gestion de l’information, des risques et des opérations à Texas McCombs. C’est le résultat de décennies de fusions et d’acquisitions qui ont abouti à des systèmes multi-hôpitaux de plus en plus grands.

Après une fusion, ils ne standardisent pas nécessairement leur technologie et leurs processus de soins. En fin de compte, le système de santé est très complexe, avec des systèmes informatiques différents, des processus de soins très différents et des structures de gouvernance différentes.


Hüseyin Tanriverdi, professeur agrégé de gestion de l’information, des risques et des opérations à Texas McCombs

Mais la complexité pourrait également offrir une solution à de tels problèmes, découvre-t-il dans de nouveaux résultats de recherche. Avec les co-auteurs Juhee Kwon de la City University de Hong Kong et Ghiyoung Im de l’Université de Louisville, il affirme qu’un « bon type de complexité » améliore et communique mieux entre les différents systèmes, processus de soins et structures de gouvernance. Les cyberattaques peuvent protéger les incidents. .

Complexe ou compliqué

Utilisant des caractéristiques de 445 groupes multihospitaliers de 2009 à 2017, l’équipe a examiné l’idée souvent répétée selon laquelle la complexité est l’ennemie de la sécurité.

Ils ont fait la distinction entre deux concepts informatiques aux consonances similaires et qui sont cruciaux pour le problème.

  • Complexité Il s’agit d’un grand nombre d’éléments dans un système qui connectent et échangent des informations de manière structurée.
  • complexité se produit lorsqu’un grand nombre d’éléments sont connectés et échangent des informations de manière non structurée – ; B. lors de l’intégration de systèmes après des fusions et acquisitions.

Parce que les systèmes complexes ont des structures, Tanriverdi dit qu’il est difficile mais réalisable de prédire et de contrôler ce qu’ils feront. Cela n’est pas réalisable pour les systèmes complexes avec leurs connexions non structurées.

Tanriverdi a noté qu’à mesure que les systèmes de santé devenaient plus complexes, ils devenaient également plus vulnérables. Les systèmes les plus complexes – ; avec les transferts de services de santé les plus divers d’un hôpital à un autre – ; étaient 29 % plus susceptibles que la moyenne.

Le problème, dit-il, est que de tels systèmes offrent davantage de points de transfert de données pour le piratage et davantage de possibilités pour les utilisateurs humains de commettre des erreurs de sécurité.

Il a découvert des vulnérabilités similaires dans d’autres formes de complexité, notamment :

  • De nombreux types de services médicaux traitent des données de santé.
  • Les décisions stratégiques sont décentralisées vers les hôpitaux membres plutôt que prises au niveau du centre corporatif.

Définir des normes de données

Les chercheurs ont également proposé une solution : créer des plates-formes de gouvernance des données à l’échelle de l’entreprise, telles que : B. des entrepôts de données centralisés pour gérer l’échange de données entre différents systèmes. De telles plates-formes convertiraient différents types de données en types communs, structureraient les flux de données et standardiseraient les configurations de sécurité.

« Vous transformeriez un système complexe en un système compliqué », dit-il. En simplifiant le système, ils réduiraient encore davantage son niveau de complications.

Il a testé l’impact sur la cybersécurité de la création de telles plateformes. Le résultat, a-t-il constaté, était qu’ils réduiraient les violations jusqu’à 47 % dans le système le plus complexe.

Selon Tanriverdi, la centralisation de la gestion des données réduit les possibilités d’intrusion des pirates. “Avec moins de points d’accès et des contrôles de cybersécurité simplifiés et plus stricts, les parties non autorisées sont moins susceptibles d’accéder sans autorisation aux données des patients.”

Il recommande également de compléter les contrôles techniques par des contrôles plus humains : former les utilisateurs aux pratiques de cybersécurité et mieux réglementer qui a accès aux différentes parties du système.

Tanriverdi reconnaît un paradoxe dans son approche. Investir dans un nouveau niveau de technologie peut initialement conduire à une complexité informatique accrue. Mais à long terme, c’est une bonne forme de complexité qui apprivoise ce qui existe – ; et plus dangereux – ; Types de complexité.

« Les praticiens devraient accepter la complexité informatique dans la mesure où elle ajoute une structure aux flux d’informations qui étaient auparavant ponctuels », dit-il. « La technologie réduit les risques de cybersécurité lorsqu’elle est bien organisée et gérée. »

Source:

Référence du magazine :

Tanriverdi, H., et coll. (2024). Maîtriser les complexités de cybersécurité des systèmes multi-hôpitaux : le rôle des plateformes d’analyse de données à l’échelle de l’entreprise. MIS trimestriel. est ce que je.org/10.25300/misq/2024/17752.

[ad_2]

Source