Vidéo: 7 virus informatiques qui ont marqué l'histoire (Novembre 2024)
Bien que les médecins aient juré de ne pas faire de mal, cela ne semble pas être le cas non plus pour l'équipement ou les réseaux qu'ils utilisent pour administrer les soins. Selon un nouveau rapport de l'organisation de recherche SANS et du groupe nordique, les prestataires médicaux succombent déjà aux cyberattaques en masse. L'étude a révélé 49 917 événements malveillants uniques émanant des fournisseurs de soins de santé qu'ils ont décrits, et ne vous inquiétez pas: la situation empire.
Épargnants de la vie tournés mal
Le rapport a révélé que de nombreux dispositifs médicaux en réseau étaient facilement repris par des pirates. Ceux-ci comprenaient un logiciel d'imagerie radiologique, des systèmes de vidéoconférence, des systèmes vidéo numériques, un logiciel de contact d'appel et des systèmes de sécurité. Même les appareils censés protéger les organisations, comme les VPN, les pare-feu et les routeurs, ont été piratés.
Le rapport a révélé que les dispositifs médicaux et les logiciels sont en train de devenir la cible privilégiée des pirates pour lancer d'autres attaques, soit sur le même réseau, soit sur d'autres cibles. D'après le rapport: "Une fois compromis, ces réseaux sont non seulement vulnérables aux violations, mais également utilisables pour des attaques telles que le phishing, les attaques DDoS et les activités frauduleuses lancées contre d'autres réseaux et d'autres victimes".
"L'une des principales raisons pour lesquelles nous pensons que l'infrastructure des hôpitaux est utilisée comme plate-forme de lancement pour la cybercriminalité et le piratage informatique tient au fait que beaucoup de ces dispositifs sont des dispositifs stupides", a déclaré le directeur technique et co-fondateur de Norse, Tommy Stiansen. "Ce ne sont pas des ordinateurs de bureau ou des serveurs, mais ils utilisent tous Linux." Nous avons déjà vu comment certains dispositifs, notamment les caméras vidéo en réseau, peuvent être utilisés pour prendre pied sur le réseau d'une victime et causer toutes sortes de problèmes.
Malgré leurs capacités, l'équipement médical et les caméras de surveillance ne font pas partie de l'architecture de sécurité, a expliqué le PDG et cofondateur Sam Glines. "Un document découvert par nos robots d'exploration pour un grand hôpital avait le même nom d'utilisateur et le même mot de passe pour tout", a-t-il déclaré. Cela comprenait des dispositifs de sauvetage tels que les équipements de dialyse. Rappelez-vous qu'Internet est toujours sur le point de vous tuer d'ici 2014.
Comme pour démontrer l'étendue du problème, Stiansen a indiqué qu'il s'était d'abord intéressé à ce projet lorsqu'il avait constaté que des informations de carte de crédit étaient transmises par des dispositifs médicaux. "Si quelqu'un laisse la porte ouverte, des pirates informatiques arriveront", a déclaré Stiansen.
Des données plus précieuses
Outre les appareils et logiciels non sécurisés utilisés par les hôpitaux, le problème est encore plus grave: les données médicales volées. Les fournisseurs de soins de santé de tous les niveaux disposent de données personnelles extrêmement précieuses. C’est cette information que les assaillants cherchent désespérément à mettre la main à la pâte.
La raison, a expliqué Stiansen, est simple: "Vous pouvez commettre plus de fraudes qu'avec des données de cartes de crédit." Un attaquant peut rapidement monétiser les données médicales, a-t-il expliqué, par le biais de systèmes tels que Medicare ou la fraude sur ordonnance. Outre les informations médicales, les informations de propriété intellectuelle et de facturation stockées par les prestataires de soins de santé sont également à risque.
Au-delà de l'impact évident sur les individus du vol de vos données, le rapport souligne également que cette fraude augmente encore plus le prix des soins de santé. Le rapport cite un rapport Ponemon de l'année dernière qui estimait le coût de la fraude médicale et médicale à environ 12 milliards de dollars.
Comment le réparer
De toute évidence, les organisations de soins de santé doivent s’attaquer sérieusement à la sécurité de leurs réseaux et de leurs appareils, même à un niveau élémentaire. "Considérez tout ce qui a une adresse IP comme un point d'extrémité critique", a déclaré Glines, qui a poursuivi en affirmant que des protocoles de mot de passe plus rigoureux pour tout, des dispositifs médicaux aux pare-feu, amélioreraient la situation.
Une nouvelle législation pourrait également encourager un meilleur comportement. Glines a attiré l'attention sur les lois de l'Union européenne imposant aux entreprises d'amortir un pourcentage de leurs revenus en cas d'infraction ou de perte de données. Bien que HIPAA ait pour objectif de fournir une protection, Norse a maintenu que la conformité n’était tout simplement pas synonyme de sécurité.
Mais il y a aussi un rôle pour les gens ordinaires. Stiansen a encouragé les patients à interroger leur fournisseur de soins de santé sur la cybersécurité. Glines a convenu, "les consommateurs sont ceux qui ont le plus à perdre. Ils ont le droit de demander comment leurs dossiers sont conservés et quelles sortes de procédures de sécurité sont en place".
