Les systèmes de soins de santé numériques d'aujourd'hui sont confrontés à des cyberattaques implacables, qui ciblent les organisations de soins de santé ainsi que les dispositifs médicaux qu'ils utilisent.
La nature et la taille essentielles du marché américain des soins de santé - environ 3,5 billions de dollars en 2020, avec une croissance substantielle prévue - en font une cible préférée des pirates. Vanson Bourne a mené une enquête pour Sophos au début de 2021, interrogeant 5 400 décideurs informatiques dans 30 pays. Les réponses ont révélé que 34% des organisations de soins de santé ont été attaquées par des ransomwares l'année précédente, et 65% ont été victimes d'une manière ou d'une autre. Le ransomware a fia avec succès les données de 54% des systèmes informatiques. Quelque 44% des entreprises affectées ont utilisé des sauvegardes pour restaurer leurs données, tandis que 34% ont fini par payer la rançon pour récupérer leurs données.
D'autres études sont encore plus alarmantes. Les recherches sur les livres noirs ont indiqué que plus de 93% des organisations de soins de santé ont été piratées depuis le troisième trimestre 2016, et 57% avaient plus de cinq violations de données au cours du même délai.
En 2020, les pirates de soins de santé ont exigé 4,6 millions de dollars en moyenne pour chaque attaque. Ce nombre devrait se développer à mesure que les pirates deviennent de plus en plus agressifs. Dans l'ensemble, les violations de données sur les soins de santé coûtent à l'industrie 4 milliards de dollars.
L'impact de ces attaques est significatif. Par exemple, Universal Health Services (UHS), une organisation de soins de santé du Fortune 500 basée à King of Prussia, en Pennsylvanie, a été attaquée par des ransomwares en septembre 2020. UHS exploite 400 installations hospitalières aux États-Unis et au Royaume-Uni, et les pirates ont fermé l'accès informatique Systèmes téléphoniques et dossiers de santé électroniques pour tous. Le correctif a pris trois semaines et UHS a déclaré une perte avant impôt de 67 millions de dollars pour l'année.
Dans un autre cas, les pirates ont bloqué l'accès aux données du Centre médical de l'Université du Vermont. Les employés n'ont pas pu récupérer les dossiers électroniques de santé (DSE) et les programmes de paie. Les chirurgies devaient être reprogrammées. La perte de revenus était estimée à 50 millions de dollars.
Les cyberattaques se présentent sous différentes formes et styles. Le ransomware fait souvent la une des journaux. Cependant, les pirates utilisent également de nombreux autres types de logiciels malveillants, installant des logiciels indésirables pour provoquer des perturbations et / ou des dommages.
Les virus polymorphes, les logiciels espions, les virus furtifs et les attaques de chevaux de trojan relèvent toutes de la catégorie de logiciels malveillants. Les pirates peuvent également faire des ravages avec le déni de service (DOS) et les attaques de déni de service distribuées (DDOS), le phishing, les attaques d'homme dans le milieu, l'écoute, et plus encore.
«Le secteur des soins de santé Face à des défis uniques », a déclaré Mark Knight, directeur de la gestion des produits d'architecture chez ARM. «Certaines de nos données les plus personnelles doivent être protégées, mais la mise à la disposition de ces données disponibles pour les praticiens et l'équipement autorisés est essentiel pour améliorer les résultats des soins de santé et augmenter l'efficacité des services de soins de santé occupés. Dans le même temps, le volume de données détenu sur nous augmente rapidement et les avantages potentiels de la technologie dans les soins de santé sont énormes. Lorsque vous cherchez à se protéger contre les attaques potentielles, il convient de noter que les solutions utilisées dans les soins de santé sont similaires à celles utilisées dans d'autres industries qui ont une dépendance critique à l'égard des technologies de l'information. »
Fig. 1: Menaces croissantes pour les soins de santé. Source: Center for Internet Security
Vulnérabilité des dispositifs médicaux Bien que les comptes des comptes du piratage des dispositifs médicaux puissent ressembler à des parcelles de films, le piratage est trop réel, et de nombreux appareils médicaux se sont révélés susceptibles des cyberattaques. Cela comprend des pompes à infusion de médicaments et à l'insuline, des stimulateurs cardiaques et des défibrillateurs cardioverter implantables (ICD).
Fin 2019, la Food and Drug Administration des États-Unis Les prestataires et le personnel des installations, ainsi que les fabricants, sur les vulnérabilités de cybersécurité introduits par un composant logiciel tiers. Une entreprise de sécurité a identifié 11 vulnérabilités, nommées «Urgent / 11», qui permettent aux attaquants de contrôler à distance le dispositif médical et de modifier ses fonctions normales. Certaines versions d'un certain nombre de systèmes d'exploitation populaires peuvent être affectés, selon la FDA, notamment:
affecte la santé des patients, les pirates peuvent vouloir voler des données pour un gain financier. Cela peut se produire de plusieurs façons, telles que l'ingénierie inverse d'un dispositif médical à usage unique en créant une solution de contournement pour vaincre cette fonction à usage unique.
«Les principaux vecteurs d'attaque se concentrent sur les points soft de cybersécurité, y compris les PC connectés à Internet, les ordinateurs portables, les tablettes et les téléphones, en utilisant des attaques de phishing et des logiciels malveillants installés par les utilisateurs », a déclaré Scott Best, directeur de la technologie de sécurité anti-échantillon chez Rambus. «Un vecteur d'attaque secondaire vise les dispositifs de soins de santé électroniques, tels que les moniteurs de glucose, les transducteurs échographiques et d'autres périphériques diagnostiques. Ces appareils sont aussi sensibles que les ordinateurs portables à l'intrusion et aux logiciels malveillants, mais ils sont en outre susceptibles de cloner et de réactiver les attaques. Dans ce contexte, il n'y a pas seulement un risque direct pour la sécurité des patients, mais il y a également des risques pour les sources de revenus des principaux fabricants d'appareils médicaux. »
En 2017, la FDA a annoncé le rappel de certains stimulateurs cardiaques fabriqués par Abbott (officiellement connu sous le nom de «St. Jude Medical»). Les raisons incluent la fuite de batterie précoce et rapide et trop peu de temps entre le premier avertissement d'épuisement de la batterie par l'indicateur de remplacement électif (ERI) et la fin de service de l'appareil (EOS). Si les stimulateurs cardiaques avec ces inconvénients sont piratés, l'attaquant peut potentiellement drainer la batterie en réglant l'appareil en mode de transmission constante. En outre, les pirates pourraient exploiter les défauts du stimulateur cardiaque pour exiger la rançon.
Similaire à d'autres conceptions électroniques, les dispositifs médicaux utilisent des logiciels, des puces et d'autres composants électroniques. Comme pour toute électronique connectée, il n'est pas rare qu'un dispositif médical ait une ou plusieurs vulnérabilités, qui peuvent apparaître à tout moment tout au long de leurs cyclistes. Mais pour les dispositifs médicaux, ces menaces ont des implications de sécurité.
"Pour les dispositifs médicaux, la sécurité entre en jeu en raison de la sécurité", a déclaré Andreas Kuehlmann, PDG de Tortuga Logic. «Pour les entreprises qui créent ces appareils, il ne s'agit en fait pas du coût de la mise en œuvre de la sécurité. La sécurité en fin de compte implique une décision commerciale indirecte qui comprend des choses comme la responsabilité et les rappels potentiels. Mais avec Medical, la sécurité a un impact indirect sur la sécurité et la sécurité est extrêmement bien comprise. Donc, qu'il s'agisse de la vie privée ou de la protection des dossiers médicaux en vertu de la HIPAA, il y a un impact commercial direct. »
traitant des menaces de la sécurité des soins de santé comprend la pratique de la confidentialité, de l'intégrité et de la disponibilité couramment acceptées (« CIA Triad ”) Principe:
Pour atteindre la triade de la CIA, il faut plusieurs étapes de base.
Mindset de cybersécurité: les organisations de soins de santé doivent développer un état d'esprit de cybersécurité descendante, car la protection efficace des données et de l'équipement est un défi multi-périphérique multi-systèmes. Cela nécessite une stratégie globale de bout en bout, ainsi qu'un plan de récupération en cas d'attaque, avec une formation régulière du personnel, des procédures appropriées, telles que de bonnes pratiques de mot de passe pour différents systèmes. L'objectif est de maintenir les dommages au minimum et de récupérer dans les plus brefs délais.
Sécurité par conception: L'accès informatique doit être étroitement contrôlé et limité. Seuls les utilisateurs autorisés et les appareils authentifiés doivent avoir accès aux connexions et aux données. Pour les nouveaux systèmes informatiques, la couche d'application (Web, applications cloud, connexion mobile) doit avoir une sécurité intégrée.
"Les attaquants trouveront toute faiblesse, il est donc difficile de surexprimer le défi", a déclaré ARM Chevalier. «Une clé de toute sécurité est une forte authentification des utilisateurs et des appareils. Il est essentiel que les appareils puissent être identifiés de manière unique et que l'état de chaque appareil (par exemple, le logiciel ou le micrologiciel installé) peut être inventorié, mesuré et vérifié. Cela peut garantir qu'un dispositif voyou ou compromis soit identifié avant qu'il ne menace une menace pour l'intégrité ou la confidentialité des données ou du réseau de soins de santé dans son ensemble. Des normes telles que PSA certifiés permettent aux fabricants d'appareils de démontrer que leurs produits peuvent être identifiés et authentifiés tout au long de leur cycle de vie, offrant une base d'assurance qui permet des déploiements de confiance à grande échelle. De plus, les technologies d'isolement avancées qui soutiennent le paradigme informatique confidentiel peuvent être utilisées, permettant une compartimentation de plus en plus forte dans les systèmes de soins de santé. Une isolation plus forte réduira le risque des utilisateurs privilégiés et rendra beaucoup plus difficile pour les attaquants qui compromettent avec succès une application pour utiliser cet actif comme vecteur pour attaquer une autre application ou système. »
ARM a récemment introduit son architecture de calcul confidentielle (CCA), qui protège des parties du code et des données à partir de l'accès ou de la modification pendant l'utilisation, même à partir de logiciels privilégiés.
Contrôles et examens de sécurité: une technologie de cybersécurité éprouvée pour le matériel et les logiciels est disponible, mais la prévention Les attaques peuvent se résumer à des actions plus de base, telles que la mise à jour rapidement des logiciels et la chasse régulièrement pour les vulnérabilités et les logiciels malveillants. De nombreuses attaques se produisent en raison des retards dans l'installation de correctifs connus. De plus, les vérifications de sécurité doivent être effectuées pour tous les logiciels tiers, en particulier ceux provenant de la chaîne d'approvisionnement. Parfois, les logiciels infectés d'un fournisseur finissent par infecter des systèmes informatiques utilisateur entiers.
Les informations de santé protégées, ou PHI, contient des dossiers médicaux des patients et d'autres informations privées. L'un des objectifs de la «triade de la CIA» est d'interdire les violations de données PHI, telles que définies par la règle de confidentialité HIPAA, qui nécessite des mesures appropriées pour protéger PHI. Il fixe également des limites et des conditions sur l'utilisation et la divulgation de ces informations sans l'autorisation d'un individu. Pour obtenir la sécurité des données, les organisations de soins de santé doivent, au minimum, crypter PHI en stockage ou en transit, et stocker PHI sur des systèmes internes sécurisés ou dans des emplacements sécurisés qui ne peuvent être accessibles que par les utilisateurs autorisés.
Minimiser Vulnérabilité des dispositifs médicaux: Pour les organisations de soins de santé, il est important d'installer des dispositifs médicaux de fournisseurs réputés avec de bonnes connaissances et pratiques en matière de sécurité.
Pour les fabricants de dispositifs médicaux, il est important d'observer toutes les règles de conception de la sécurité et d'intégrer Sécurité aux premiers stades de la conception. Cela inclut une confiance zéro et un démarrage sécurisé, en utilisant des algorithmes de chiffrement pour se prémunir contre les CI contrefaits, limiter la collecte de données et conserver les données pendant les plus brefs délais pour minimiser l'exposition.
«Les fabricants d'appareils médicaux ont la responsabilité de développer des appareils Avec des logiciels et du matériel sécurisés à partir de zéro », a déclaré Steve Hanna, ingénieur distingué chez Infineon Technologies. «Le matériel sécurisé est nécessaire pour protéger de manière fiable la sécurité et les données des patients pendant le stockage et le traitement. L'appareil doit inclure des puces de sécurité qui effectuent l'authentification et le chiffrement des données sensibles, ainsi que la génération et le stockage des clés cryptographiques. De plus, les puces de sécurité doivent vérifier l'intégrité des logiciels, des machines et des appareils pour identifier la manipulation et détecter les modifications non autorisées. Ce n'est que lorsque vous créez toutes ces fonctions sur une racine matérielle de confiance que vous pouvez être convaincu que les dispositifs médicaux sont sécurisés. »
Mais même avec les meilleures mesures de sécurité, les pirates peuvent avoir accès.
"Les attaques d'homme dans le milieu sont de plus en plus courantes", a déclaré Thierry Kouthon, chef de produit technique chez Rambus Security. «La demande accrue d'appareils médicaux sans fil offre aux pirates de nouvelles opportunités de s'engager dans des cyberattaques. Les attaques se présentent sous de nombreuses formes différentes, notamment l'interception des données confidentielles, l'insertion du code malveillant, le détournement de session et l'interruption du transfert de données. La détection des attaques d'homme dans le milieu peut être difficile. Un exemple serait l'appariement d'un dispositif médical Bluetooth. Il appartient au fabricant d'appareils de s'assurer que la sécurité est intégrée. Les considérations incluent la réduction de la gamme de communication Bluetooth, si possible. Le protocole Bluetooth prend également en charge les clés de pass ou des broches qui doivent être insérées par l'utilisateur pendant la phase d'appariement entre deux appareils Bluetooth. Cela rendra plus difficile pour une écoute d'interception d'interception du trafic sans connaître la toude Pass, et nécessite également une interface physique pour insérer le Passkey. »
Le FutureIn décembre 2021, l'Oregon Anestheology Group (OAG) l'a annoncé. avait connu une cyberattaque le 11 juillet. Le 21 octobre, le FBI a informé OAG qu'il avait découvert un compte qui appartenait à Hellokitty, un groupe de piratage ukrainien. Le compte contenait des fichiers de patients et d'employés OAG. Selon OAG, la violation des données a potentiellement affecté 750 000 patients et 522 employés actuels et anciens de l'OAG.
D'autres attaques se poursuivent, souvent sans préavis public. Mais la plupart des experts pensent également que les cyberattaques ne feront qu'empirer, provoquant des perturbations majeures aux soins de santé elle-même, les pertes de revenus entre les prestataires et exercent de plus en plus de pression sur le matériel, les logiciels et les développeurs de systèmes à concevoir en sécurité dès le départ.
Ressources Content des soumissions de pré-commerciaux pour la gestion de la cybersécurité dans les dispositifs médicaux (2018) U.S. Le projet de conseils de la FDA pour le personnel de la Food and Drug Administration, octobre 2018
Gestion du marché postal de la cybersécurité dans les dispositifs médicaux (2016) U.S. Guide de la FDA pour le personnel de l'industrie et de la Food and Drug Administration, décembre 2016
Plan d'action de sécurité des dispositifs médicaux: protéger les patients, promouvoir la santé publique. Fda
