Les cybercriminels attaquent les soins de santé (mais nous pouvons riposter)
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
Les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie.
首席执行官、主席和联合创始人
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Une version de cet article a été publiée dans Magazine de cyberdéfense. Il a été mis à jour pour la syndication ici.
Les cyberattaques sont devenues un mode de vie de nos jours. Les gens s'attendent presque à être informés d'une nouvelle vulnérabilité ou d'une nouvelle faille qui touche tout, des banques à l'aviation, ou des appareils aussi divers que les smartphones et les feux de signalisation. Même nos maisons ne sont plus totalement sûres. Villes et villages entiers sont attaqués par des criminels presque tous les jours, les attaquants réclamant des millions de rançons pour rétablir les services critiques compromis.
Mais un endroit où nous pouvions encore nous sentir en sécurité était le cabinet du médecin ou même un hôpital. Les personnes sont les plus vulnérables lorsqu'elles s'adressent à un professionnel de santé. La décence humaine exigerait presque que les cliniciens locaux soient autorisés à faire leur noble travail en paix. Malheureusement, ce n'est pas le cas. Il semble y avoir peu d'honneur « ou peut-être même un pur désespoir » chez les cybervoleurs d'aujourd'hui. En fait, les soins de santé pourraient être le prochain « grand » champ de bataille en matière de cybersécurité, les criminels s'attaquant aux machines mêmes qui diagnostiquent les problèmes médicaux, fournissent des traitements et soutiennent la vie. Alors qu'une crise sanitaire mondiale durable se déroule sous nos yeux, il est essentiel d'y faire face sous de multiples angles.
Les menaces sont de plus en plus personnelles.
Les attaques contre le secteur de la santé ne sont pas nouvelles. Les cybercriminels connaissent déjà la valeur des informations sur les patients, des données personnelles et des dossiers financiers dans le monde souterrain et sur le dark web. Ces informations peuvent être utilisées pour voler de l'argent directement aux patients ou comme point de départ pour des attaques secondaires telles que le phishing et d'autres escroqueries. Il n'est donc pas étonnant que bon nombre des attaques les plus dévastatrices de ces derniers temps aient visé les soins de santé. Hymne 80 millions de dossiers de patients ont été volés dans le secteur de la santé. Premera a perdu 11 millions de fichiers personnels. Soin d'abordAu total, 1,1 million d'enregistrements ont été compromis, et la liste s'allonge encore et encore.
À l'heure actuelle, les attaques visant directement des dispositifs médicaux semblent rares. Cependant, au moins un rapport suggère que le problème pourrait être beaucoup plus répandu, les hôpitaux ne signalant pas les intrusions ou les employés non formés en cybersécurité ne reconnaissant tout simplement pas qu'une attaque se déroule juste devant eux. La capacité de compromettre des dispositifs médicaux de manière effrayante, par exemple en utilisant des logiciels malveillants pour ajouter de fausses tumeurs aux résultats des tomodensitogrammes et des IRM, a été démontré de manière concluante par des chercheurs en sécurité. Il n'est pas exagéré de penser que les attaquants font peut-être déjà des choses identiques ou similaires à l'égard des dispositifs médicaux dans le monde réel.
Le secteur de la santé est également particulièrement vulnérable aux cyberattaques en raison de sa dépendance croissante à l'égard des appareils de l'Internet des objets (IoT), de minuscules capteurs connectés à Internet et qui produisent des volumes d'informations incroyables. Dans l'ensemble, la sécurisation des informations produites par ces capteurs, des canaux qu'ils utilisent pour communiquer, et même des capteurs eux-mêmes, n'a été qu'une question secondaire. Le nombre de vulnérabilités potentielles qu'un attaquant pourrait exploiter en se cachant dans ces réseaux dominés par l'IoT est probablement presque illimité.
L'IoT dans le secteur de la santé présente de sérieux risques.
Les services essentiels aux soins aux patients, qui dans certains cas n'étaient même pas imaginés il y a 20 ans, constituent un terreau fertile pour les vulnérabilités liées à l'IoT et d'autres vulnérabilités plus traditionnelles. Les dossiers médicaux électroniques, la télémédecine et la santé mobile attendaient apparemment l'augmentation des informations que l'IoT pourrait fournir. Il n'est pas étonnant que l'engagement en faveur de l'IoT dans le secteur de la santé soit impressionnant. MarketResearch.com prédit que d'ici l'année prochaine, le marché de l'IoT dans le secteur de la santé atteindra 117 milliards de dollars et continuera de croître à un taux de 15 % chaque année par la suite.
Dans cet environnement, les attaquants expérimentés peuvent trouver de nombreuses vulnérabilités qui peuvent être utilisées pour exploiter des dispositifs médicaux. Les capteurs IoT intégrés aux dispositifs médicaux communiquent et produisent généralement leurs données de deux manières. Certains collectent des données, puis transmettent tous leurs résultats directement sur Internet pour analyse. D'autres utilisent une forme de réseau distribué appelée informatique dans le brouillard où les capteurs eux-mêmes forment une sorte de mini-réseau, décidant collectivement des données à partager avec un référentiel ou une plate-forme centrale. Ces données peuvent ensuite être traitées ultérieurement ou directement consultées par les professionnels de santé.
Le fait que le secteur n'a jamais adopté ni approuvé de normes, de méthodes ou de protections en matière de traitement des données complique encore les problèmes de cybersécurité dans le secteur de la santé. Le secteur de la santé a toujours été desservi par des fabricants qui proposaient leurs propres technologies exclusives pour les dispositifs médicaux. Aujourd'hui, cela inclut les capteurs IoT intégrés, les canaux de communication utilisés par les appareils et la plateforme d'analyse des données après leur collecte. Cela fait de la plupart des réseaux hospitaliers un rêve pour les pirates informatiques, ou du moins un terrain d'essai idéal où ils peuvent exploiter tout, de configurations erronées en matière de sécurité pour protection insuffisante de la couche de transport. Ils peuvent essayer n'importe quoi falsifications de demandes intersites vers le classique Attaques par injection XML.
Le contre-coup dont nous avons besoin est juste devant nous.
Malgré les conséquences potentiellement catastrophiques de ces vulnérabilités étant exploités, il y a de quoi rester optimiste : ces bogues de sécurité ne sont pas de nouvelles portes dérobées puissantes ouvertes par des cerveaux criminels. Ils sont si courants qu'il est frustrant de les voir encore et encore. L'une des raisons pour lesquelles ils apparaissent est due à l'utilisation de systèmes existants qui n'ont pas été corrigés malgré la disponibilité de correctifs, mais l'autre est une fois de plus liée au facteur humain. Les développeurs écrivent du code à un rythme effréné et se concentrent sur un produit final élégant et fonctionnel... et non sur les meilleures pratiques en matière de sécurité.
Il y a tout simplement trop de logiciels en cours de développement pour que les spécialistes de la sécurité des applications puissent suivre le rythme, et nous ne pouvons pas nous attendre à ce qu'ils sauvent constamment la situation avec ces vulnérabilités récurrentes. Il est moins coûteux, plus efficace et nettement plus sûr si ces vulnérabilités ne sont pas introduites dès le départ, ce qui signifie que les équipes de sécurité et les développeurs doivent faire un effort supplémentaire pour créer une culture de sécurité robuste de bout en bout.
À quoi ressemble exactement une bonne culture de sécurité ? Voici quelques éléments clés :
- Les développeurs disposent des outils et de la formation dont ils ont besoin pour corriger les bogues courants (et comprennent pourquoi il est si important de le faire)
- La formation est complète, facile à digérer et met à profit les points forts des développeurs
- Les résultats de la formation sont correctement mesurés, à l'aide de mesures et de rapports (pas simplement un exercice à cocher et à passer à autre chose)
- AppSec et les développeurs commencent à parler le même langage : après tout, dans une culture de sécurité positive, ils s'efforcent d'atteindre des objectifs similaires.
Le risque de catastrophe est toujours énorme et va bien au-delà du simple vol du dossier médical d'un patient. L'injection de fausses tumeurs dans un scanner peut être dévastatrice pour une personne qui attend impatiemment de savoir si elle est atteinte d'un cancer. Et le fait de changer de médicament ou de modifier les plans de traitement pourrait en fait les tuer. Mais il suffit d'un cybercriminel prêt à franchir cette ligne pour réaliser des profits, et vous pouvez garantir que cela se produira. Peut-être que la prochaine escroquerie par rançongiciel ne chiffrera pas les données d'un hôpital, mais ruinera les diagnostics de milliers de patients. Ou peut-être qu'un attaquant menacera de modifier des médicaments s'il n'est pas payé, mettant littéralement des vies en danger contre rançon.
Il est clair que nous ne pouvons plus suivre le statu quo lorsqu'il s'agit de cybersécurité dans le secteur de la santé. Nous ne pouvons pas compter sur un ou deux spécialistes des organisations de santé pour résoudre tous les problèmes. Nous avons plutôt besoin de développeurs soucieux de la sécurité qui travaillent sur des applications et des appareils de santé pour identifier les problèmes potentiels et les résoudre avant leur déploiement dans les établissements. Et même les professionnels de santé pourraient bénéficier d'une formation de base en cybersécurité.
Il est vrai que rien n'est plus important que votre santé. Dans le secteur de la santé, le maintien d'une bonne capacité de cybersécurité pour l'avenir dépendra de la promotion d'une meilleure sensibilisation globale à la sécurité dès aujourd'hui. Sans traitement sérieux, ce problème ne fera qu'empirer.
%20(1).avif)
.avif)
