Logo Zéphyrnet

Les soins de santé sont une mine d'or pour les pirates

Date :

Les systèmes de santé numériques d'aujourd'hui sont confrontés à des cyberattaques incessantes, qui ciblent les organisations de soins de santé ainsi que les dispositifs médicaux qu'ils utilisent.

La nature critique et la taille du marché américain des soins de santé — une estimation $3.5 billions en 2020, avec une croissance substantielle prévue — en faire une cible favorite des hackers. Vanson Bourne a mené une enquête pour Sophos début 2021, interrogeant 5,400 30 décideurs informatiques dans 34 pays. Les réponses ont révélé que 65 % des organisations de soins de santé avaient été attaquées par des ransomwares l'année précédente, et 54 % avaient été victimes d'une manière ou d'une autre. Les ransomwares ont réussi à geler les données de 44 % des systèmes informatiques. Quelque 34 % des entreprises concernées ont utilisé des sauvegardes pour restaurer leurs données, tandis que XNUMX % ont fini par payer la rançon pour récupérer leurs données.

D'autres études sont encore plus alarmantes. Recherche sur le livre noir ont indiqué que plus de 93 % des organisations de soins de santé ont été piratées depuis le troisième trimestre 3, et 2016 % ont eu plus de cinq violations de données au cours de la même période.

En 2020, les pirates de la santé ont exigé 4.6 millions de dollars en moyenne pour chaque attaque. Ce nombre devrait augmenter à mesure que les pirates deviennent de plus en plus agressifs. Dans l'ensemble, les violations de données dans le domaine de la santé coûtent cher à l'industrie 4 milliard de dollars.

L'impact de ces attaques est considérable. Par example, Services de santé universels (SSU), une organisation de soins de santé Fortune 500 basée à King of Prussia, PA, a été attaquée par un ransomware en septembre 2020. UHS exploite 400 établissements hospitaliers aux États-Unis et au Royaume-Uni, et les pirates ont fermé les systèmes téléphoniques d'accès aux ordinateurs et les dossiers de santé électroniques pour tous. eux. Le correctif a pris trois semaines et UHS a signalé une perte avant impôts de 67 millions de dollars pour l'année.

Dans un autre cas, des pirates ont bloqué l'accès aux données du centre médical de l'Université du Vermont. Les employés n'ont pas pu récupérer les dossiers de santé électroniques (DSE) et les programmes de paie. Les opérations ont dû être reportées. La perte de revenus a été estimée à 50 millions de dollars.

Les cyberattaques se présentent sous différentes formes et styles. Les ransomwares font souvent la une des journaux. Cependant, les pirates utilisent également de nombreux autres types de logiciels malveillants, installant des logiciels indésirables pour causer des perturbations et/ou des dommages.

Les virus polymorphes, les logiciels espions, les virus furtifs et les attaques de chevaux de Troie entrent tous dans la catégorie des logiciels malveillants. Les pirates peuvent également faire des ravages avec des attaques par déni de service (DoS) et par déni de service distribué (DDoS), hameçonnage, attaques de l'homme du milieu, écoute clandestine, etc.

"Le secteur des soins de santé est confronté à des défis uniques", a déclaré Mark Knight, directeur de la gestion des produits d'architecture chez Arm. "Certaines de nos données les plus personnelles doivent être protégées, mais il est essentiel de rendre ces données accessibles en toute sécurité aux praticiens et aux équipements autorisés pour améliorer les résultats des soins de santé et accroître l'efficacité des services de santé très fréquentés. Dans le même temps, le volume de données détenues à notre sujet augmente rapidement et les avantages potentiels de la technologie dans les soins de santé sont énormes. Lorsque l'on cherche à se protéger contre des attaques potentielles, il convient de noter que les solutions utilisées dans les soins de santé sont similaires à celles utilisées dans d'autres industries qui dépendent de manière critique des technologies de l'information.

Fig. 1 : Menaces croissantes pour les soins de santé. Source : Centre pour la sécurité Internet

Fig. 1 : Menaces croissantes pour les soins de santé. La source: Centre de sécurité Internet

Vulnérabilité des dispositifs médicaux
Alors que les récits de piratage d'appareils médicaux peuvent ressembler à des intrigues cinématographiques, le piratage n'est que trop réel et de nombreux appareils médicaux se sont révélés sensibles aux cyberattaques. Cela comprend les pompes à perfusion de médicaments et à insuline, les stimulateurs cardiaques et les défibrillateurs automatiques implantables (DCI).

Fin 2019, la Food and Drug Administration des États-Unis a publié une "URGENT/11" avertissement pour alerter les patients, les prestataires de soins de santé et le personnel de l'établissement, ainsi que les fabricants, des vulnérabilités de cybersécurité introduites par un composant logiciel tiers. Une société de sécurité a identifié 11 vulnérabilités, nommées "URGENT/11", qui permettent aux attaquants de contrôler à distance le dispositif médical et de modifier ses fonctions normales. Selon la FDA, certaines versions d'un certain nombre de systèmes d'exploitation populaires peuvent être affectées, notamment :

  • VxWorks (par Wind River)
  • Système d'exploitation intégré (OSE) (par ENEA)
  • INTÉGRITÉ (par Green Hills)
  • ThreadX (par Microsoft)
  • ITRON (par TRON Forum)
  • ZebOS (par IP Infusion)

Bien que toutes les attaques n'affectent pas la santé des patients, les pirates peuvent vouloir voler des données à des fins financières. Cela peut se produire de plusieurs manières, telles que la rétro-ingénierie d'un dispositif médical à usage unique en créant une solution de contournement pour contourner cette fonctionnalité à usage unique.

"Les principaux vecteurs d'attaque se concentrent sur les points faibles de la cybersécurité, y compris les PC, les ordinateurs portables, les tablettes et les téléphones connectés à Internet, utilisant des attaques de phishing et des logiciels malveillants installés par l'utilisateur", a déclaré Scott Best, directeur de la technologie de sécurité anti-effraction chez Rambus. « Un vecteur d'attaque secondaire vise les appareils de santé électroniques, tels que les glucomètres, les transducteurs à ultrasons et d'autres périphériques de diagnostic. Ces appareils sont aussi sensibles que les ordinateurs portables aux intrusions et aux logiciels malveillants, mais ils sont également sensibles aux attaques de clonage et de refabrication. Dans ce contexte, il n'y a pas seulement un risque direct pour la sécurité des patients, il y a aussi un risque pour les sources de revenus des principaux fabricants de dispositifs médicaux.

En 2017, la FDA a annoncé le rappel de certains stimulateurs cardiaques fabriqués par Abbott (anciennement connu sous le nom de « St. Jude Medical »). Les raisons incluent l'épuisement précoce et rapide de la batterie et le temps trop court entre le premier avertissement d'épuisement de la batterie par l'indicateur de remplacement électif (ERI) et la fin de service de l'appareil (EOS). Si les stimulateurs cardiaques présentant ces inconvénients sont piratés, l'attaquant peut potentiellement vider la batterie en réglant l'appareil dans un mode de transmission constant. De plus, les pirates pourraient exploiter les failles du stimulateur cardiaque pour exiger une rançon.

Semblables à d'autres conceptions électroniques, les dispositifs médicaux utilisent des logiciels, des puces et d'autres composants électroniques. Comme pour tout appareil électronique connecté, il n'est pas rare qu'un dispositif médical présente une ou plusieurs vulnérabilités, qui peuvent apparaître à tout moment de son cycle de vie. Mais pour les dispositifs médicaux, ces menaces ont des implications sur la sécurité.

"Pour les dispositifs médicaux, la sécurité entre en jeu en raison de la sécurité", a déclaré Andreas Kuehlmann, PDG de Tortuga Logic. « Pour les entreprises qui fabriquent ces appareils, il ne s'agit en fait pas du coût de la mise en œuvre de la sécurité. En fin de compte, la sécurité implique une décision commerciale indirecte qui inclut des éléments tels que la responsabilité et les rappels potentiels. Mais avec le médical, la sécurité a un impact indirect sur la sécurité, et la sécurité est extrêmement bien comprise. Donc, qu'il s'agisse de confidentialité ou de protection des dossiers médicaux en vertu de la loi HIPAA, il y a un impact commercial direct. »

Faire face aux menaces
La cybersécurité dans les soins de santé comprend la pratique de la confidentialité, de l'intégrité et de la disponibilité communément acceptées ("Triade de la CIA") principe :

  • Les données confidentielles ne peuvent être consultées ou modifiées que par les utilisateurs autorisés.
  • L'intégrité des données doit être gérée et stockée de manière à ce que personne ne puisse les changer ou les modifier accidentellement ou de manière malveillante.
  • Les données doivent être accessibles aux utilisateurs autorisés. Dans le cas d'une attaque par rançongiciel, les données doivent être verrouillées et refuser les utilisateurs non autorisés.

Pour réaliser la triade CIA, il faut plusieurs étapes de base.

État d'esprit de la cybersécurité : Les organisations de soins de santé doivent développer un état d'esprit descendant en matière de cybersécurité, car la protection efficace des données et des équipements est un défi multi-appareils et multi-systèmes. Cela nécessite une stratégie globale de bout en bout, ainsi qu'un plan de récupération en cas d'attaque, avec une formation régulière du personnel, des procédures appropriées, telles que de bonnes pratiques de mot de passe pour différents systèmes. L'objectif est de minimiser les dégâts et de récupérer dans les plus brefs délais.

Sécurité dès la conception : L'accès informatique doit être étroitement contrôlé et limité. Seuls les utilisateurs autorisés et les appareils authentifiés doivent avoir accès aux connexions et aux données. Pour les nouveaux systèmes informatiques, la couche applicative (web, applications cloud, connexion mobile) doit avoir une sécurité intégrée.

"Les attaquants trouveront n'importe quelle faiblesse, il est donc difficile d'exagérer le défi", a déclaré Arm's Knight. « La clé de toute sécurité est une authentification forte des utilisateurs et des appareils. Il est essentiel que les appareils puissent être identifiés de manière unique et que l'état de chaque appareil (par exemple, le logiciel ou le micrologiciel installé) puisse être inventorié, mesuré et vérifié. Cela peut garantir qu'un appareil malveillant ou compromis est identifié avant qu'il ne constitue une menace pour l'intégrité ou la confidentialité des données ou pour le réseau de soins de santé dans son ensemble. Des normes telles que la certification PSA permettent aux fabricants d'appareils de démontrer que leurs produits peuvent être identifiés et authentifiés tout au long de leur cycle de vie, fournissant une base d'assurance qui permet des déploiements fiables à grande échelle. De plus, des technologies d'isolation avancées qui prennent en charge le paradigme de l'informatique confidentielle peuvent être utilisées, permettant une compartimentation de plus en plus forte au sein des systèmes de soins de santé. Une isolation plus forte réduira le risque des utilisateurs privilégiés et rendra beaucoup plus difficile pour les attaquants qui réussissent à compromettre une application d'utiliser cet actif comme vecteur pour attaquer une autre application ou un autre système.

Arm a récemment présenté son architecture de calcul confidentielle (CCA), qui protège des parties de code et de données contre l'accès ou la modification pendant leur utilisation, même à partir de logiciels privilégiés.

Contrôles de sécurité et vérifications : Une technologie de cybersécurité éprouvée pour le matériel et les logiciels est disponible, mais la prévention des attaques peut se résumer à des actions plus élémentaires, telles que la mise à jour rapide des logiciels et la recherche régulière de vulnérabilités et de logiciels malveillants. De nombreuses attaques se produisent en raison de retards dans l'installation de correctifs connus. De plus, des contrôles de sécurité doivent être effectués pour tous les logiciels tiers, en particulier ceux provenant du chaîne d'approvisionnement. Parfois, un logiciel infecté d'un fournisseur finit par infecter l'ensemble des systèmes informatiques des utilisateurs.

Les informations de santé protégées, ou PHI, contiennent les dossiers médicaux des patients et d'autres informations privées. L'un des objectifs de la « triade de la CIA » est d'interdire les violations de données PHI, telles que définies par la Règle de confidentialité HIPAA, ce qui nécessite des mesures appropriées pour protéger les RPS. Elle fixe également les limites et les conditions d'utilisation et de divulgation de ces informations sans l'autorisation d'un individu. Pour garantir la sécurité des données, les organisations de soins de santé doivent, au minimum, chiffrer les PHI en stockage ou en transit, et stocker les PHI sur des systèmes internes sécurisés ou dans des emplacements sécurisés accessibles uniquement aux utilisateurs autorisés.

Minimiser la vulnérabilité des dispositifs médicaux : Pour les organisations de soins de santé, il est important d'installer des dispositifs médicaux provenant de fournisseurs réputés ayant de bonnes connaissances et pratiques en matière de sécurité.

Pour les fabricants de dispositifs médicaux, il est important de respecter toutes les règles de conception de la sécurité et d'intégrer la sécurité dès les premières étapes de la conception. Cela inclut la confiance zéro et le démarrage sécurisé, l'utilisation d'algorithmes de cryptage pour se prémunir contre les circuits intégrés contrefaits, la limitation de la collecte de données et la conservation des données pendant la durée la plus courte possible pour minimiser l'exposition.

"Les fabricants de dispositifs médicaux ont la responsabilité de développer des dispositifs avec des logiciels et du matériel sécurisés à partir de zéro", a déclaré Steve Hanna, éminent ingénieur chez Infineon Technologies. « Un matériel sécurisé est nécessaire pour protéger de manière fiable la sécurité et les données des patients pendant le stockage et le traitement. L'appareil doit inclure des puces de sécurité qui effectuent l'authentification et le cryptage des données sensibles, ainsi que la génération et le stockage des clés cryptographiques. De plus, les puces de sécurité doivent vérifier l'intégrité des logiciels, des machines et des appareils pour identifier les manipulations et détecter les modifications non autorisées. Ce n'est que lorsque vous construisez toutes ces fonctions sur une racine matérielle de confiance que vous pouvez être sûr que les dispositifs médicaux sont sécurisés.

Mais même avec les meilleures mesures de sécurité, les pirates peuvent y accéder.

« Les attaques de l'homme du milieu sont de plus en plus courantes », a déclaré Thierry Kouthon, chef de produit technique chez Rambus Security. « La demande croissante de dispositifs médicaux sans fil offre de nouvelles opportunités aux pirates informatiques pour se livrer à des cyberattaques. Les attaques se présentent sous de nombreuses formes différentes, notamment l'interception de données confidentielles, l'insertion de code malveillant, le détournement de session et l'interruption du transfert de données. Détecter les attaques de l'homme du milieu peut être difficile. Un exemple serait l'appairage d'un dispositif médical Bluetooth. Il appartient au fabricant de l'appareil de s'assurer que la sécurité est intégrée. Les considérations incluent la réduction de la portée de la communication Bluetooth, si possible. Le protocole Bluetooth prend également en charge les clés d'accès ou les codes PIN qui doivent être insérés par l'utilisateur lors de la phase d'appairage entre deux appareils Bluetooth. Cela rendra plus difficile pour un espion d'intercepter le trafic sans connaître le mot de passe, et nécessite également une interface physique pour insérer le mot de passe.

L'avenir
En Décembre 2021, la Groupe d'anesthésiologie de l'Oregon (OAG) a annoncé avoir subi une cyberattaque le 11 juillet. Le 21 octobre, le FBI a informé l'OAG qu'il avait découvert un compte appartenant à HelloKitty, un groupe de piratage ukrainien. Le compte contenait les dossiers des patients et des employés du BVG. Selon OAG, la violation de données a potentiellement affecté 750,000 522 patients et XNUMX employés actuels et anciens d'OAG.

D'autres attaques se poursuivent, souvent sans grande notoriété publique. Mais la plupart des experts pensent également que les cyberattaques ne feront qu'empirer, entraînant des perturbations majeures des soins de santé eux-mêmes, des pertes de revenus parmi les prestataires et une pression croissante sur les développeurs de matériel, de logiciels et de systèmes pour qu'ils conçoivent la sécurité dès le départ.

Ressources
Contenu des soumissions préalables à la commercialisation pour la gestion de la cybersécurité dans les dispositifs médicaux (2018)
Projet de directives de la FDA des États-Unis à l'intention du personnel de l'industrie et de la Food and Drug Administration, OCTOBRE 2018

Gestion post-commercialisation de la cybersécurité dans les dispositifs médicaux (2016)
Directives de la FDA des États-Unis pour le personnel de l'industrie et de la Food and Drug Administration, DÉCEMBRE 2016

Plan d'action pour la sécurité des dispositifs médicaux : protéger les patients, promouvoir la santé publique
US FDA

spot_img

Dernières informations

spot_img