Les organisations de santé doivent examiner attentivement tout achat ou mise en œuvre d'applications, de suites logicielles et d'autres plates-formes technologiques susceptibles de contenir du code open source en raison des risques de sécurité potentiellement graves - et des problèmes de sécurité des patients - posés par ces composants, déclare l'avocat Steven Teppler. société Sterlington PLLC.
"Il y a une énorme adoption du code open source dans tous les secteurs et entreprises, et les soins de santé ne font pas exception", dit-il.
Tout composant open source - en particulier ceux qui ont accès ou peuvent être configurés pour avoir accès à des informations ou processus critiques dans un environnement hospitalier - doit être soigneusement vérifié pour minimiser le risque de compromission de la cybersécurité, dit-il.
"Si vous utilisez un code open source qui permet l'introduction de rançongiciels dans votre système hospitalier et que le système hospitalier se fige, même si vous revenez au stylo et au papier, certains services de diagnostic seront probablement indisponibles", a-t-il déclaré dans une interview à Information. Groupe des médias de sécurité.
"Si cela se produit et que la fourniture des soins de santé est retardée, le retard peut entraîner des blessures - et également des décès."
Dans un environnement hospitalier, des composants de code open source pourraient être intégrés dans des équipements allant des outils de diagnostic clinique aux ascenseurs, dont la capacité à fonctionner correctement pourrait être fortement altérée par l'exploitation d'une vulnérabilité de sécurité, dit-il.
Parlant de la possibilité d'un cyberincident de code open-source affectant les ascenseurs, il demande : « Si vous avez un patient qui doit être déplacé du septième étage au neuvième étage, de l'USI à une salle d'opération, et vous pouvez tu ne fais pas ça - et tu ne peux pas faire monter le patient dans les escaliers - que fais-tu ?"
"Vous ne vous débarrasserez jamais de tous les problèmes ou risques potentiels, mais les organisations doivent faire attention à ce qu'elles achètent et à qui elles l'achètent", dit-il.
Dans l'interview (voir le lien audio sous la photo), Teppler évoque également :
Teppler est associé chez Sterlington PLLC, où il dirige la pratique de la cybersécurité, de la confidentialité et de la découverte électronique du cabinet d'avocats. Il est également l'ancien coprésident du comité de sécurité de l'information de l'American Bar Association et fondateur et ancien coprésident de l'Institut national de l'IoT de l'ABA et de son Institut national sur la découverte électronique et la gouvernance de l'information.
