Les hôpitaux américains ont été témoins d'une vague d'atteintes à la sécurité tout au long de 2021, avec plus de 40 millions de dossiers de patients compromis dans des incidents signalés au gouvernement fédéral. Certaines attaques ont même menacé la prestation des soins de santé, mettant les systèmes de communication hors ligne pendant des semaines ou provoquant une interruption de la radiothérapie.

Kevin Fu, professeur agrégé à l'Université du Michigan et directeur par intérim, Medical Device Cybersecurity au US FDA Center for Devices and Radiological Health, nous a rencontrés et a discuté de la tendance alarmante et des mesures possibles pour y faire face.

Parlez-nous de l'étendue de ce problème

2021 a été une année assez importante pour les attaques de ransomwares contre la prestation de soins de santé. C'est très perturbateur et cela touche au cœur des points faibles de la sécurité :l'élément humain qui s'y faufile.

En avril, à la FDA, nous avons vu le premier cas où le rançongiciel est allé plus loin que la perturbation des dossiers de santé électroniques, ce qui était à ce jour un problème assez courant et gênant. Cette attaque a affecté la sécurité et l'efficacité de la radiothérapie pour la radio-oncologie du cancer.

Cette attaque visait un fabricant, envahissant un cloud privé qu'il utilisait pour la dosimétrie de la radio-oncologie avec un ransomware et provoquant une panne importante pour les hôpitaux utilisant leur technologie. Ce qui est intéressant, c'est que ce n'est pas le ransomware lui-même, mais le processus de remédiation, qui a provoqué la panne. Le fabricant a suivi son manuel de sécurité informatique en mettant son cloud hors ligne lorsqu'il a été infecté.

Malheureusement, cela signifiait que le cloud n'était pas disponible pour une gamme particulière de produits de radio-oncologie, et que les hôpitaux utilisant le produit n'étaient donc pas en mesure de fournir la radiothérapie.

Lorsque nous pensons aux rançongiciels hospitaliers, nous avons tendance à penser au bâtiment lui-même et aux appareils qui sont confinés à ces murs, mais il semble vraiment que les points de défaillance à risque s'étendent bien dans la chaîne d'approvisionnement

Oui, et je pense qu'un vrai défi est un changement de mentalité. Il existe des systèmes informatiques - courrier électronique, cours en classe, etc. - et ils comportent leur propre ensemble de risques. Mais d'un autre côté, vous avez la technologie opérationnelle, ce que nous appelons OT, y compris des choses comme les dispositifs médicaux, les véhicules autonomes ou les actifs satellites dans l'espace. Ils ont un ensemble d'exigences différent et ont tendance à se concentrer d'abord sur la sécurité.

Ainsi, alors que vous pourriez tolérer l'arrêt du système de messagerie d'une entreprise en raison d'un incident de sécurité, ce n'est pas vraiment quelque chose sur la table pour un système cinétique où la vie des gens en dépend.

Pourquoi maintenant ? Y a-t-il une raison particulière pour laquelle ce problème est en augmentation ?

Je suggérerais plusieurs facteurs. Ces problèmes sont intégrés à l'informatique depuis le début, et ce type d'attaque aurait très bien pu être exécuté dans les années 1960.

Mais je pense que la raison pour laquelle cela se produit en 2022 est que nous avons atteint un point d'inflexion où le degré de connectivité entre les appareils et les services dans tous les secteurs a explosé. Nous dépendons désormais de l'informatique distribuée. Il y a cinq ou dix ans, nous aurions peut-être utilisé le cloud computing pour plus de commodité, ou peut-être pour la sauvegarde ou le stockage secondaire. Mais maintenant, il entre dans le chemin critique, il fait partie des composants essentiels d'un dispositif médical. Et s'il tombe en panne, le dispositif médical perd sa fonctionnalité thérapeutique de base.

C'est une époque difficile. Il n'y a rien d'intrinsèquement mauvais avec le cloud computing, mais vous devez contrôler les risques en fonction de votre modèle de menace. Et mon observation est que le modèle de menace pour un dispositif médical est très différent du courrier électronique d'entreprise.

Y a-t-il des faiblesses principales auxquelles il faut s'attaquer ?

Le fruit à portée de main en termes de facilité de réparation serait ce que l'on appelle désormais la modélisation des menaces. C'est quelque chose que nous enseignons dans les cours de sécurité informatique. Cela implique de jouer le rôle de l'adversaire, en essayant de réfléchir à la manière dont le système pourrait résister non seulement aux menaces d'aujourd'hui, mais aux menaces futures.

Je pense que c'est quelque chose qui peut être très utile car, même avec un appareil hérité, les fabricants peuvent mieux comprendre ce qui est à risque. Ils commencent par reconnaître que l'appareil est sensible aux logiciels malveillants modernes, car il a été conçu il y a 20 ans.

Les attaques de dossiers de patients ciblent-elles plus souvent des hôpitaux isolés ou ciblent-elles des serveurs partagés ?

Je ne suis pas encore au courant d'un fournisseur de cloud ciblé spécifiquement parce qu'il dessert une multitude de fabricants de dispositifs médicaux. Je ne serais pas surpris si cela se produisait accidentellement à un moment donné.

Nous espérons certainement que les fournisseurs de services cloud qui desservent le secteur de la santé prêtent attention à certains des développements de normes pour garantir que les appareils des hôpitaux restent sûrs et efficaces, même s'ils utilisent le cloud.

Ceci est possible d'un point de vue technique, mais nécessite des étapes conscientes et délibérées si vous voulez une assurance raisonnable. Vous ne voulez pas avoir la sécurité par hasard, vous voulez avoir la sécurité dès la conception.

Quel est le message pour les parties prenantes et le public ?

Ce n'est pas une course vers les collines, c'est plutôt une ébullition lente.

Le public peut être dans une certaine mesure satisfait du fait que les différents organismes de réglementation de différents pays travaillent en fait ensemble à l'avance sur ces questions. Ils s'efforcent d'informer les hôpitaux des risques de sécurité de chaque appareil, afin qu'ils puissent les déployer en toute sécurité.

Il se passe beaucoup de choses en arrière-plan, à la fois techniques et politiques, qui vont améliorer les appareils.

La FDA travaille stratégiquement sur le développement de normes pour concevoir de nombreux risques de sécurité, mais le défi est qu'il existe un certain nombre de logiciels hérités sur le marché, dont la plupart datent de plusieurs décennies. Essayer de sécuriser ces appareils est incroyablement difficile une fois que le cheval est sorti de la porte.

À cette fin, de nombreuses mesures temporaires sont également en cours pour remédier aux anciens appareils obsolètes. Il est difficile, mais pas impossible, de garder ces appareils sûrs et efficaces jusqu'à ce qu'un appareil plus idéal, avec une sécurité intégrée dès le départ, soit disponible.