Pour JD Vance, Guard Gud et « Demande » à Los Angeles

L’Iran gouverne le nouveau Nuckar E-Cleary à une suspension

Les 20 transferts les plus chers de l’histoire 🤑

Internet

Cybersécurité et Internet des objets : dangers et solutions

Lire aussi :

Sautez et grimpez à l’intérieur d’un immense…

Airtel Zambia et ZIBC proposent aux PME des appareils…

Le moyen le plus rapide pour les pirates de nuire à une organisation de prestataires de soins de santé consiste à cibler les informations sur les patients, et nombre d’entre eux se concentrent sur les bases de données qui prennent en charge les dossiers de santé électroniques.

L’Internet des objets a amplifié le nombre de vecteurs d’attaque pour cibler le fonctionnement des hôpitaux, des cabinets médicaux, des centres de soins ambulatoires et d’autres établissements. Mais cela crée également un risque direct pour les soins aux patients.

Les téléphones, les tablettes, les dispositifs médicaux connectés et d’autres technologies offrent une porte latérale permettant aux pirates d’infiltrer les réseaux. Avec de nombreux appareils utilisant des systèmes d’exploitation obsolètes, les patients sont confrontés à une vulnérabilité unique, car un pirate informatique pourrait interférer avec le traitement.

De nombreux dispositifs, tels que les stimulateurs cardiaques ou les dispositifs implantables qui fournissent des micro-chocs au cerveau pour traiter la maladie de Parkinson ou d’autres troubles neurologiques, sont contrôlés par des applications mobiles qui permettent aux médecins d’ajuster le traitement sans recourir à la chirurgie. La commodité compense le risque de chirurgie contre le risque qu’un pirate falsifie le traitement.

La mise à niveau de la sécurité de ces appareils pourrait nécessiter une toute nouvelle approbation de la FDA, un processus long et coûteux. Certaines de ces organisations adoptent une approche attentiste en matière de sécurité, mais cela reflète également un vœu pieux concernant les vulnérabilités et les responsabilités potentiellement énormes.

Pour aider les RSSI, DSI et autres responsables de la sécurité sanitaire à résoudre ces problèmes, Nouvelles de l’informatique de la santé a interviewé Edward L. Goings, responsable du pilier national des services de cyberréponse et responsable mondial de la réponse aux incidents chez KPMG Global. Goings a discuté des risques inhérents à l’Internet des objets, de la possibilité pour les pirates d’entrer via des dispositifs implantables et similaires, et de ce qui doit se passer pour garantir le maintien de la sécurité.

Q. L’Internet des objets a amplifié le nombre de vecteurs d’attaque pour s’introduire dans les organisations de prestataires de soins de santé, ce qui peut mettre en péril les soins aux patients. Veuillez préciser cette menace.

UNE. L’Internet des objets augmente de manière exponentielle le nombre de points d’accès permettant aux pirates d’infiltrer les systèmes. La disponibilité du WiFi crée un champ ouvert pour les pirates pour voir quels types de réseaux sont disponibles et quels appareils sont connectés. Un plus grand nombre d’appareils connectés sont utilisés dans la prestation des soins, mais ils sont conçus pour l’efficacité plutôt que pour la sécurité.

De plus, l’IoT est un élément important de la surveillance à distance pour aider à alerter les cliniciens sur les indicateurs clés de la façon dont un patient gère ses maladies chroniques. Malheureusement, de nombreux appareils connectés utilisent des systèmes d’exploitation vieux de plus de dix ans, ce qui les rend obsolètes en matière de sécurité.

L’Internet des objets dans un environnement médical peut être extrêmement utile d’une part, mais les risques de cybersécurité doivent être pris en compte dans la conception de ces produits.

Q. De nombreux appareils sont contrôlés par des applications mobiles qui permettent aux médecins d’ajuster le traitement. Les hackers peuvent-ils entrer ?

UNE. Oui. Un patient dans un lit d’hôpital peut disposer de plusieurs dispositifs de surveillance à distance, en plus des dispositifs connectés qui sont implantés dans le corps, comme un stimulateur cardiaque.

Les fabricants de dispositifs médicaux essaient de faire ce qu’il faut lorsqu’il s’agit de permettre aux médecins d’ajuster la fonction des dispositifs via une application, plutôt que de recourir à une nouvelle intervention chirurgicale pour implanter un nouveau dispositif. C’est beaucoup plus pratique pour le patient et il y a moins de risques de causer des dommages supplémentaires, comme une infection.

Cependant, il est concevable qu’un mauvais acteur s’infiltre dans les appareils et perturbe le fonctionnement général, que l’appareil affecte le rythme cardiaque, surveille l’administration de médicaments ou transmette les signes vitaux d’un patient à un poste de soins infirmiers. Le pirate informatique peut induire un clinicien en erreur dans un diagnostic erroné, puis un traitement inefficace ou dangereux.

Certains des appareils peuvent être impliqués dans la délivrance de petits chocs au cerveau pour traiter la maladie de Parkinson ou de petits chocs au cœur pour modérer la fréquence cardiaque. Il existe un certain nombre de dispositifs qui sont également impliqués dans la perfusion de médicaments. Les applications sont une partie importante de la surveillance du diabète, et cela a son propre ensemble de problèmes de gestion de la maladie, car une mauvaise gestion des médicaments peut entraîner des visites aux urgences.

Les questions seraient certainement liées au motif de cibler les patients, mais la question demeure de savoir quel type de risque ou de responsabilité serait supporté par les fabricants des dispositifs médicaux.

Q. Vous avez dit que la mise à niveau de la sécurité des appareils IoT pourrait nécessiter une toute nouvelle approbation de la FDA. Cela arrivera-t-il? Et quel est le danger que les hôpitaux attendent que cela se produise pour agir ?

UNE. Les fabricants de dispositifs médicaux ont adopté une approche attentiste pour aborder la sécurité. Développer un dispositif médical est un processus coûteux. Même la mise à jour de la sécurité du logiciel sous-jacent nécessiterait de nouvelles études à inclure dans une nouvelle soumission à la FDA. Une partie de la réticence à passer par ce processus de la part des fabricants de dispositifs médicaux est compréhensible.

Les mises à jour ou les mises à niveau des appareils offrent la possibilité d’intégrer des fonctionnalités de sécurité dans la conception des appareils connectés au fur et à mesure qu’ils subissent des essais cliniques. La question se résume au risque pendant que les produits plus anciens sont disponibles et à l’écart avant que des produits plus sûrs puissent subir des études avant d’être prêts pour le marché.

S’il s’avère qu’un produit est piraté et pose des problèmes de sécurité, cela pourrait être catastrophique pour les petits fabricants d’appareils médicaux et extrêmement coûteux pour les grandes entreprises d’appareils. Le risque auquel sont confrontés les prestataires de soins de santé est un peu différent de celui auquel est confronté un fabricant d’appareils, mais l’avocat d’un patient peut tenter d’inclure un hôpital dans une poursuite s’il est déterminé que le pirate a infiltré l’appareil via leurs systèmes informatiques.

Q. Quelles sont les différentes manières dont les CISO et les CIO des organisations de prestataires de soins de santé peuvent agir aujourd’hui pour protéger leurs appareils IoT ?

UNE. Les prestataires de soins de santé sont parmi les meilleurs en matière d’hygiène au travail, compte tenu de son importance. L’application des mêmes normes à la technologie contribuerait grandement à la prévention.

Ils doivent comprendre que les mauvais acteurs peuvent et essaieront de cibler toutes les faiblesses. La gestion des accès est un domaine qui peut aider à contenir les dommages potentiels causés par des acteurs malveillants. Dans le domaine de la santé, nous ne voulons pas entraver l’accès aux informations vitales.

Avec l’IoT, nous nous connectons aux applications et aux systèmes cliniques, mais ils ne doivent être connectés qu’à des parties minimales du réseau où ils doivent fonctionner. La plupart des infrastructures informatiques de soins de santé se concentrent sur le vaste réseau d’objets. Du point de vue de la sécurité, ils sont vraiment doués pour effectuer des tests de stylet et des équipes rouges contre le réseau principal.

Les appareils IoT utilisés dans et pour les patients sont essentiels, mais il est important de ne pas négliger les appareils qui sauvent des vies dans l’hôpital. Ces appareils sont le plus souvent connectés au réseau global via WiFi et Bluetooth, et sont souvent exploités par des systèmes d’exploitation plus anciens.

Les attaquants ont commencé à cibler ces appareils comme points d’entrée dans le réseau, car ils ne disposent souvent pas de protection des terminaux. Les fournisseurs doivent se concentrer sur les tests de sécurité au niveau de l’IoT. Si les appareils ne peuvent pas disposer d’une sécurité de point de terminaison, les fournisseurs doivent isoler les appareils sur un réseau distinct doté d’une sécurité plus stricte.

Les équipes de sécurité de l’information doivent effectuer des évaluations de compromission de ces appareils à un intervalle plus fréquent. Dans la mesure du possible, les systèmes d’exploitation doivent être mis à niveau vers un système d’exploitation pris en charge que vous pouvez utiliser [for] protection des terminaux.

Twitter:@SiwickiHealthIT
Envoyez un courriel à l’auteur : bsiwicki@himss.org
Healthcare IT News est une publication HIMSS Media.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Sautez et grimpez à l’intérieur d’un immense réseau de…

Airtel Zambia et ZIBC proposent aux PME des appareils Internet…

La femme de Jelly Roll dénonce les bébés trolls d’Internet…

Que se passe-t-il en 60 secondes sur Internet ?

Spatial Computing – Lai Yi Ohlsen – How Tall is the…

Visions concurrentes pour l’avenir d’Internet : la…

1 De 366

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite