Cybersécurité dans les soins de santé

Un virus complètement différent

Un bref aperçu de la bataille en cours pour endiguer la vague de cyber-incursion dans le secteur de la santé.

Il n’y a pas si longtemps, les entreprises étaient protégées par des serrures sur les portes et fenêtres. C’était une époque plus simple et, malheureusement, c’est une époque qui est révolue dans cette ère moderne de cyberguerre. Si les récentes attaques du ransomware WannaCry en sont une indication, les entreprises et les institutions doivent plus que jamais prendre la cybersécurité au sérieux pour éviter des conséquences potentiellement dévastatrices.

Cybersécurité dans les soins de santé

informatique-de-santé.com

En plus du piratage subversif dans le monde des affaires, où les informations privées peuvent être compromises et les données sensibles des entreprises volées, des mesures de cybersécurité sont désormais utilisées pour annuler les effets du piratage par des entités étrangères, utilisées comme une arme politique. Il s’agit d’un problème mondial de plus en plus grave, qui a nécessité la mise en œuvre de méthodologies avancées de cybersécurité pour contrecarrer les capacités de plus en plus sophistiquées des pirates informatiques à contourner ces mêmes systèmes.

« Ces dernières années, la cybersécurité est devenue une préoccupation croissante dans le secteur des soins de santé, avec des cyberattaques et des vulnérabilités très médiatisées provoquant des perturbations pour les assureurs, les hôpitaux et les fabricants de dispositifs médicaux. Les enjeux pour les patients sont également importants, car leurs données pourraient être perdues ou falsifiées, les services hospitaliers pourraient être interrompus ou des patients pourraient être lésés par des attaques ciblant des appareils spécifiques… » 1

Intervention du gouvernement pour lutter contre la cybercriminalité

Cybersécurité dans les soins de santé

nationalisacs.org

La numérisation rapide du secteur de la santé rend ce secteur particulièrement vulnérable aux cyberattaques et ce fait n’a pas échappé au Congrès américain. Le comité de l'énergie et du commerce de la Chambre s'est récemment réuni pour aborder la cybersécurité dans le secteur de la santé. Les centres de partage et d’analyse d’informations (ISACS) peuvent jouer un rôle clé pour renforcer la sécurité des prestataires de soins de santé et contrecarrer les efforts des cyberattaquants potentiels.

Grâce aux efforts interactifs des 24 organisations qui composent le Conseil national des ISAC (NCI), de grands efforts sont déployés pour « maximiser le flux d'informations à travers les infrastructures critiques du secteur privé et avec le gouvernement ». Les secteurs et sous-secteurs des infrastructures critiques qui ne disposent pas d’ISAC sont invités à contacter le NCI pour savoir comment ils peuvent participer aux activités du NCI.2

Il s’agit bien entendu d’une entreprise herculéenne visant à renforcer le partenariat entre les entités publiques et privées dans le domaine des soins de santé en matière de cybersécurité, compte tenu de la myriade d’industries et d’agences gouvernementales chargées de réglementer et de fournir ces soins de santé. Le Congrès a été encouragé à accorder des allégements fiscaux et d'autres incitations pour inciter les entreprises à s'impliquer dans les efforts continus des ISAC.

Une faible participation entrave la mise en œuvre de la cybersécurité

Malheureusement, les faibles taux de participation dans les établissements de santé constituent un problème persistant dans les efforts en cours pour mettre en œuvre des mesures de cybersécurité efficaces dans l’ensemble du secteur. Selon Terry Rice, vice-président de la gestion des risques informatiques et responsable de la sécurité de l'information chez Merck, « les entreprises peuvent hésiter à partager des informations au sein d'un ISAC si elles craignent que ces informations ne restent pas confidentielles pour ses membres ».3

« Je pense que la statistique la plus choquante est vraiment le fait que 40% des individus à la tête d'une organisation – les dirigeants comme les PDG et les DSI, et même les membres du conseil d'administration – ne se sentent pas personnellement responsables de la cybersécurité ou de la protection des données des clients. Dave Damato, responsable de la sécurité chez Tanium, sur Boîte Squawk de CNBC, parlant de la cybersécurité dans le secteur de la santé 13

Le coût élevé de la cybercriminalité dans le secteur de la santé

Cybersécurité dans les soins de santé

dcpracticeinsights.com

Outre la menace évidente de compromission des informations sur les patients et d’autres incidents de vol de données, les défaillances de la cybersécurité coûtent incroyablement cher, à hauteur de $6,2 milliards par an, selon un projet de recherche mené en 2016 par l’Institut Poneman. Les informations révélées dans leurs études ont révélé que « près de 90 % des établissements de santé… avaient subi une violation de données au cours des deux années précédentes. Quarante-cinq pour cent ont eu plus de cinq violations de données au cours de cette période, le coût moyen d'une cyberattaque s'élevant à $2,2 millions. Les données contenues dans les dossiers de santé électroniques (DSE) sont souvent citées comme la raison pour laquelle les soins de santé constituent une cible si attractive aux yeux d’un pirate informatique.4

Même si les gens aiment croire que leurs informations médicales sont en possession du cabinet de leur médecin ou de leur hôpital, ce n'est souvent pas le cas. La numérisation continue des dossiers de santé s’avère une proposition coûteuse pour le secteur de la santé. La sécurisation de toutes ces informations représente une autre dépense monumentale et parfois cette partie de l’équation de la cybersécurité a été négligée dans un souci d’économies, ou simplement en raison de la nature à grande échelle de l’effort global.

La nature lucrative du cybervol dans le secteur de la santé

Cybersécurité dans les soins de santé

littlegatepublishing.com

Bien entendu, les dossiers médicaux sont une denrée très prisée sur le marché noir et peuvent rapporter gros aux parties cherchant à obtenir des informations personnelles, des adresses de facturation et des numéros de carte de crédit. Le piratage peut en effet être une entreprise très lucrative. Considérez cet exemple. "En mars 2016, des pirates informatiques ont volé plus de 2,2 millions de dossiers de patients de 21st Century Oncology, basé à Fort Myers, en Floride. Un mois plus tard, quelqu'un a volé un ordinateur portable contenant 205 748 dossiers de patients non sécurisés à Premier Healthcare, LLC." 5

L'avènement des ransomwares

Ransomware est un nouveau terme pour la plupart des gens, se familiarisant avec les récentes attaques WannaCry déclenchées à l'échelle mondiale, paralysant les systèmes d'infrastructures critiques et obtenant d'importantes rançons financières de la part de ceux qui ont été victimes de l'anxiété et de la perte potentielle de données caractéristiques de telles attaques. Le secteur de la santé en particulier est particulièrement vulnérable aux incursions de ransomwares.

« Les hôpitaux sont la cible idéale pour ce type d’extorsion, car ils fournissent des soins intensifs et s’appuient sur des informations à jour provenant des dossiers des patients. Sans un accès rapide aux antécédents médicamenteux, aux directives chirurgicales et à d’autres informations, les soins aux patients peuvent être retardés ou interrompus, ce qui rend les hôpitaux plus susceptibles de payer une rançon plutôt que de risquer des retards pouvant entraîner la mort et des poursuites. 6

En effet, les logiciels malveillants ransomware bloquent un ordinateur et rendent les données inaccessibles à moins qu'une rançon ne soit payée à l'auteur. Habituellement, ce paiement est effectué sous forme de bitcoin. Dans la plupart des cas, un délai est fixé pour le paiement de la rançon, sinon les données informatiques seront détruites. Même si la plupart des parties touchées ne paient pas la rançon, elles le font suffisamment pour en faire une entreprise criminelle particulièrement lucrative.

Cybersécurité dans les soins de santé

wctechblog.com

Le secteur de la santé est vulnérable aux attaques de ransomwares car, étonnamment, de nombreux hôpitaux ont pris des mesures inadéquates pour prévenir les failles de cybersécurité. Au lieu de cela, la plupart des hôpitaux ont concentré leur principale préoccupation sur le respect de la conformité HIPAA et sur le respect des directives fédérales pour assurer la sécurité des informations sur les patients. En fin de compte, la plupart des employés du secteur de la santé ne sont tout simplement pas suffisamment formés pour reconnaître et contrecarrer les cyberattaques avant qu’elles ne se produisent. Même lorsqu’une formation adéquate et des mesures de cybersécurité sont en place, il est toujours difficile de déjouer les criminels qui gardent constamment une longueur d’avance.

Les appareils IoT sont également menacés

Pour ajouter encore à la gravité de la situation actuelle, les cyberattaques peuvent affecter non seulement les ordinateurs, mais également les appareils qui y sont connectés. Les outils médicaux, les moniteurs cardiaques et de glucose ne sont que quelques exemples d’appareils vulnérables aux cyberattaques. Le vice-président Dick Cheney a exigé que son stimulateur cardiaque soit protégé contre les cyberattaques, de peur que des personnes mal intentionnées ne manipulent le fonctionnement de son appareil à distance. Franchement, les interférences avec de tels appareils peuvent être mortelles pour les patients qui en dépendent pour vivre.

Cybersécurité dans les soins de santé

filaire.com

À titre d'exemple de piratage médical : « Dans un exploit actuellement utilisé, connu sous le nom de MedJack, les attaquants injectent des logiciels malveillants dans des dispositifs médicaux pour ensuite se propager sur un réseau. Les données médicales découvertes lors de ce type d’attaques peuvent être utilisées à des fins de fraude fiscale ou d’usurpation d’identité, et peuvent même être utilisées pour suivre les prescriptions actives de médicaments, permettant aux pirates informatiques de commander des médicaments en ligne pour ensuite les revendre sur le dark web. 7

"À ma connaissance, aucun patient n'a été tué à cause d'un stimulateur cardiaque piraté, mais des patients ont été tués à cause d'un ou plusieurs dysfonctionnements de leurs dispositifs médicaux, d'erreurs de configuration et de bugs logiciels. Cela signifie que la recherche en matière de sécurité sous la forme d'un piratage préventif, suivie d'une divulgation coordonnée des vulnérabilités et de correctifs fournis par les fournisseurs, peut contribuer à sauver des vies humaines.» Marie Moe, chercheuse en sécurité au SINTEF, dans «Allez-y, hackers. Briser mon coeur» (Filaire)13

La FCC a maintenant suggéré que les fournisseurs IoT de dispositifs médicaux intègrent des mesures de sécurité dans les produits qu'ils fabriquent ; le mot clé y étant suggéré. En fait, instaurer des pratiques et des exigences de sécurité obligatoires pour ces fabricants prend du temps. En outre, les réseaux chargés de relayer les données entre les appareils et les bases de données ont également un besoin critique de mise en œuvre et de surveillance de la cybersécurité.

Un nouveau président, un nouvel ordre

Cybersécurité dans les soins de santé

abcnewsgo.com

De nombreuses spéculations ont été faites sur la manière dont l’administration Trump aborderait les questions de cybersécurité. Le 11 mai 2017, le président a signé un décret exigeant un examen des capacités globales du pays à lutter contre la cyberactivité criminelle. L'ordonnance fait porter l'essentiel de la responsabilité en matière de cybersécurité sur les agences fédérales qui devaient procéder à des évaluations des risques et remettre leurs rapports respectifs dans un délai de 90 jours. Des rapports supplémentaires examinant les risques liés aux infrastructures critiques étaient attendus six mois après la publication du décret présidentiel.

« L'ordonnance appelle à une révision de la menace posée par les botnets, qui ciblent les sites Web dont le trafic de spam est généré automatiquement. Le Botnet Mirai a été responsable d’importantes pannes d’Internet l’année dernière. Mais Access Now affirme que l'ordonnance devrait également aborder le processus gouvernemental de divulgation des vulnérabilités et sa réponse aux violations de données. 8

  • Évaluations des risques

  • Plans de reprise après sinistre et d’urgence

  • Des équipes Sec-Op dédiées

  • Examen minutieux des associés/fournisseurs

  • Meilleure formation des employés

Cette liste est une gracieuseté de Healthcareitnews.com, tirée d'un article publié en janvier 2017. 9

  • Défense en couches

  • Hygiène technologique améliorée

  • Partenariats de cybersécurité

  • Un meilleur logiciel

  • Consultants légistes

Il n’existe aucune mesure préventive globale ni mesure permettant d’éliminer le risque de cyberattaques. Au contraire, les hôpitaux, les cliniques et les cabinets privés ne peuvent qu'espérer travailler ensemble et gérer les risques continus dans l'intérêt de la protection des informations privées et de la sécurité générale de leurs patients. Parallèlement, nous espérons que les progrès technologiques continus permettront de remédier à la vulnérabilité des dispositifs médicaux et des réseaux informatiques.

Cet effort visant à freiner les effets potentiellement désastreux de la cybercriminalité dans le secteur de la santé et au-delà s’étend bien au-delà des États-Unis. Un effort mondial est actuellement en cours pour endiguer la vague de cyberattaques dans le monde, ou du moins pour minimiser l'impact de ce qui semble être un effort incessant de la part des cybercriminels pour infiltrer les systèmes de santé, faire des ravages et extorquer autant que possible. , à des fins néfastes.

Motivations politiques des cyberattaques

Cybersécurité dans les soins de santé

dailymail.co.uk

Compte tenu du climat politique hostile qui existe entre la Corée du Nord et pratiquement tous les autres pays du monde civilisé, il n'est pas surprenant que cette nation voyou ait été citée comme l'un des auteurs probables des récentes attaques du logiciel de rançon WannaCry et d'autres efforts mal intentionnés entrepris à des fins malveillantes. pour des raisons politiques et à des fins d'extorsion financière.

« Des chercheurs en cybersécurité ont trouvé des indices techniques qui, selon eux, pourraient relier la Corée du Nord à la cyberattaque mondiale « ransomware » WannaCry qui… infecté plus de 300 000 machines dans 150 pays. Symantec et Kaspersky Lab ont déclaré… du code dans une version antérieure de le logiciel WannaCry étaient également apparus dans des programmes utilisés par le groupe Lazarus, que les chercheurs de nombreuses entreprises ont identifié comme une opération de piratage informatique dirigée par la Corée du Nord. 10

Tous les experts ne pensent pas que l’attaque du ransomware WannaCry ait été motivée par des raisons financières. Certains, comme Matthew Hickey du cyber-consultant britannique Hacker House, estiment que les auteurs espéraient simplement « causer le plus de dégâts possible ». Cela a certainement été le cas dans les pays les plus touchés par l’attaque, notamment l’Inde, Taiwan, l’Ukraine et la Russie.

Certains, comme le dirigeant russe Vladimir Poutine, ont blâmé la NSA pour ce qu’il prétend être son rôle dans les attaques du ransomware WannaCry. La technologie WannaCry serait « basée sur un outil divulgué tirant parti d’une faille de sécurité dans Windows qui semble provenir de la NSA. "Nous sommes pleinement conscients que les génies, en particulier ceux créés par les services secrets, pourraient nuire à leurs propres auteurs et créateurs s'ils étaient libérés de la bouteille", a déclaré Poutine à Pékin. selon le service d'information public russe Tass11

"Le prochain président va hériter des cultures de cyberespionnage les plus sophistiquées et les plus persistantes que le monde ait jamais connues. Il doit s'entourer d'experts capables d'accélérer l'attribution de couches puissantes de défenses de nouvelle génération autour de nos silos d'infrastructures critiques ciblés." James Scott, chercheur principal, Institut de technologie des infrastructures critiques 14

Tendances dans la lutte contre les cyber-incursions dans le secteur de la santé

De toute évidence, la menace de violations de la cybersécurité dans tous les secteurs d’activité et de l’industrie ne diminuera pas. Dans le domaine des soins de santé, il y aura un besoin continu et incessant d’améliorer la technologie et la vigilance globale pour éviter des incidents désastreux à l’avenir. Certaines tendances protectrices émergent et pourraient être considérées comme l’avenir de la dissuasion de la cybercriminalité dans le secteur des soins de santé.

En tête de liste se trouve une migration croissante vers des outils de sécurité des informations basés sur le cloud. Cette décision « permettra aux outils d’être mis à jour de manière plus dynamique pour lutter contre les logiciels malveillants de type Zero Day. Ce passage au cloud devrait à terme rendre plus économique la mise à disposition de ces outils à tous les prestataires de soins de santé, petits et grands. 12

Cybersécurité dans les soins de santé

rappler.com

En outre, le secteur de la santé sera contraint d’encourager un partage d’informations et une collaboration accrus au sein des réseaux de santé et entre les établissements. Cet effort mutuel de cybersécurité sera difficile à mettre en place car les établissements de santé sont souvent assez insulaires par nature. Il est prévu que ce partage d’informations s’étendra au-delà des soins de santé pour inclure de nombreux secteurs commerciaux et institutionnels visant à minimiser les risques pour toutes les personnes impliquées.

En fin de compte, les efforts visant à éliminer les dangers des failles de cybersécurité, des ransomwares et des menaces nouvelles et émergentes dans ce domaine se résumeront à l’éducation et à la sensibilisation de tous les niveaux des employés du secteur de la santé et au-delà. Lorsque tout le monde sera bien éduqué et conscient des signes avant-coureurs des cyber-risques et de ce qu'il peut faire pour faire partie d'un effort global visant à endiguer la vague de cyber-incursion, le secteur de la santé et tous les protecteurs du partage civilisé d'informations dans le monde entier continuera à faire des progrès significatifs pour limiter les effets néfastes de la cybercriminalité dans tous les secteurs.

Nous pouvons vous aider dans vos efforts de cybersécurité

SIS International Research a passé des décennies à interagir avec le secteur de la santé à plusieurs niveaux, depuis les cabinets familiaux indépendants jusqu'aux réseaux de santé monolithiques et à plusieurs niveaux. Notre compréhension unique des défis auxquels sont confrontées les entreprises et les institutions du secteur de la santé est sans précédent. Nous fournissons des recherches et des renseignements sur les parties prenantes

Nos solutions incluent :

Recherche sur les meilleures pratiques
Recherche des parties prenantes des employés
Recherche sur les décideurs en matière de soins de santé
Étude de marché sur les administrateurs d’hôpitaux et les parties prenantes
Recherche sur les leaders d'opinion clés (KOL)
Connaissance du marché
Étude de marché des patients
Suivi des tendances des menaces

Aujourd’hui, face à la complexité accrue de la menace imposée par la cybercriminalité croissante visant nos établissements de santé les plus vénérés et les patients qu’ils servent, nous considérons notre rôle avec le plus grand sérieux. En tant qu'entreprise fière de comprendre l'importance et la nature multiforme du secteur de la santé, nous continuerons à servir les pratiques, les installations et les organisations liées à la santé avec les mêmes capacités de recherche complètes et de haute qualité auxquelles nos clients sont parvenus. attendre et exiger. De cette manière, nous espérons contribuer à aider la communauté médicale à comprendre et à combattre la menace très réelle et sérieuse des cyberattaques dans le secteur de la santé.

Les ressources suivantes ont été utilisées dans la compilation de cette recherche :

  • http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
  • https://www.nationalisacs.org/
  • http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
  • https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
  • https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
  • https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
  • https://www.wired.com/2017/03/medical-devices-next-security-nightmare/
  • https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/
  • http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017
  • http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded
  • www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity
  • https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f
  • http://www.goodreads.com/quotes/tag/cyber-security