La dernière chose qu'un patient diabétique souhaite voir, c'est que, lors de l'injection du médicament dans le corps, la pompe à insuline soit piratée. Malheureusement, la sécurité des équipements médicaux reste encore un problème majeur.
L'année dernière, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a émis plus de la moitié des alertes concernant les pompes à médicaments. Par exemple, les pirates pourraient exploiter des vulnérabilités présentes dans les pompes fabriquées par Baxter International et Becton Dickinson Alaris System pour lancer des attaques DDoS afin de modifier la configuration du système ou de voler des données des patients.
Jugement de la situation en matière de sécurité
La cybersécurité est devenue une tâche importante pour la Food and Drug Administration fédérale. En 2020, la FDA a publié une série d'alertes, exhortant les fabricants d'appareils médicaux et les hôpitaux à corriger une série de matériels vulnérables, notamment SweynTooth, URGENT/11, Ripple20 et SigRed.
Par exemple, Ripple20 est un ensemble de bogues découverts en juin 2020, qui affectait 53 000 appareils médicaux. Selon une étude de Forescout, ces vulnérabilités peuvent permettre aux attaquants d'exécuter du code à distance.
Selon les données d'Ordr, grâce à une analyse sur un an portant sur 5 millions d'appareils médicaux connectés à l'Internet des objets (IoMT), il a été constaté que 86% de logiciels médicaux étaient déployés sur les appareils médicaux rappelés en intranet. Les appareils IoMT rappelés peuvent être considérés comme présentant des vulnérabilités ou des dispositifs posant des risques pour la sécurité.
Risques potentiels
Les experts avertissent que la sécurité des équipements médicaux est un enjeu à long terme, et aujourd'hui, sous l'impact du COVID, la situation s'est encore aggravée. Afin de pouvoir sauver davantage de vies, les hôpitaux doivent prioriser le budget consacré aux équipements et l'allocation du personnel, ce qui signifie que la cybersécurité est souvent reléguée au second plan. Pour aggraver les choses, les pirates informatiques en sont également conscients, et ils exploitent désormais les faibles mesures de cybersécurité des établissements médicaux pour mener un grand nombre d'attaques par rançongiciel et par hameçonnage.
Universal Health Services est l'un des plusieurs hôpitaux ayant subi une attaque par rançongiciel en 2020. Cette institution ayant été attaquée par des cybercriminels, cela a eu un impact significatif sur plus de 400 établissements aux États-Unis, à Porto Rico et au Royaume-Uni. Selon Tom August, CISO qui travaille depuis longtemps dans le domaine médical, ce problème des attaques contre les appareils médicaux ne peut pas être ignoré.
August a déclaré : " Si l'un de ces appareils est attaqué, l'impact potentiel est vraiment important, mais la probabilité d'être attaqué est très faible. Peut-être avez-vous installé un rançongiciel sur mon ordinateur, ce qui est mauvais pour moi. Mais si vous installez un logiciel malveillant sur l'équipement médical connecté au patient, cela causera un grave préjudice à la vie humaine. "
L'historique de la sécurité des équipements médicaux
Nous devrions réaliser que comment assurer la sécurité des équipements médicaux a toujours été un problème très difficile dans le domaine de la sécurité. Pendant longtemps, la gestion de la sécurité des équipements médicaux a été très compliquée. Autrement dit, les équipements médicaux présentent souvent de nombreux problèmes tels que des mécanismes flous de publication et de mise à jour des correctifs, ainsi que des configurations incorrectes des appareils (par exemple, l'oubli de changer le mot de passe par défaut).
Les appareils médicaux IoT ont été rappelés et fonctionnaient sur le réseau interne. Tim Erlin, vice-président de la gestion produit et de la stratégie chez Tripwire, a déclaré : " Le coronavirus n'a pas créé davantage de vulnérabilités dans les équipements médicaux, mais a mis à jour celles déjà existantes. "
Ce domaine fait également face à certains défis uniques. Par exemple, étant donné que la FDA impose des exigences strictes sur la configuration des équipements et que l'agence a signé un contrat avec le fournisseur, les agences de soins doivent souvent recourir à des fournisseurs peu efficaces pour les correctifs, les mises à niveau et le remplacement, ce qui constitue un processus très lent.
August a déclaré : " Les équipements médicaux constituent un angle mort dans l'hôpital. Dans beaucoup de cas, l'hôpital ne peut pas gérer ces équipements. Ce travail doit être effectué par le fournisseur. Nous ne pouvons pas les mettre à jour parce que le fournisseur ne nous y autorise pas. Nous ne pouvons pas installer de logiciels anti-malware pour les protéger, car le fournisseur affirme que cela violerait le contrat de garantie. "
Solution
Il peut être particulièrement difficile de réduire les risques de cybersécurité des équipements médicaux, mais il existe quelques bonnes pratiques qui peuvent nous aider.
L'inventaire des équipements médicaux est la première étape pour assurer la cybersécurité. Une recherche d'Ordr a révélé que 51% des équipes informatiques ignorent quel type d'équipement est connecté à leur réseau.
Ordr a également constaté que les applications Facebook et YouTube peuvent tourner sur des systèmes tels que l'IRM et Windows XP.
Selon le rapport, " L'utilisation d'équipements médicaux pour accéder à Internet peut exposer les organisations à des risques de sécurité plus élevés et les rendre vulnérables aux rançongiciels et autres logiciels malveillants. "
Dans le même temps, les suggestions suivantes pour évaluer les appareils IoT sont proposées : évaluer l'exposition de l'appareil à Internet, désactiver les services inutiles ou non utilisés sur l'appareil, et segmenter le réseau selon les besoins de l'appareil.
Surgaid Medical (Xiamen) Co. Ltd
Surgaid Medical (Xiamen) Co., Ltd se consacre au développement, à la production et à la commercialisation de produits chirurgicaux depuis plus de 10 ans. En particulier, les produits chirurgicaux mini-invasifs. La chirurgie mini-invasive est un axe de développement chirurgical. Ces produits comprennent des trocarts laparoscopiques jetables, des agrafeuses linéaires, des agrafeuses circulaires, des PPH, etc.
La fabrication de nos propres produits chirurgicaux nous permet de contrôler totalement la conception et l'évolution de nos produits. Nous sommes en mesure de nous adapter rapidement à l'évolution constante du marché des soins de santé et d'offrir des solutions de haute qualité, à usage unique et rentables, qui sont en concurrence directe avec les leaders mondiaux du marché.
Produits Surgaid :
Pour plus d'informations sur les produits, voir https://www.surgaid-medical.com/