Gestion des risques et de la continuité dans le secteur des soins de santé

Ce que cela signifie pour la gestion des risques et de la continuité dans le secteur des soins de santé lorsque des failles de sécurité existent dans le processus de traitement des données et que les ordinateurs et le matériel médical des hôpitaux peuvent être attaqués à toute heure a été démontré une fois de plus lors de la 5e conférence "Sécurité de l'information dans le secteur des soins de santé".

Contrairement aux attaques Ransomware et WannaCry qui ont maintenu les utilisateurs finaux et les entreprises du monde entier en alerte en 2017 (voir, par exemple, May 2017 Management and Quality et le post sur "WannaCry" Attack - No Breathing a Breath Yet"), il n'y a pas eu d'épidémies aussi importantes et globales en 2018, à l'exception du malware Emotet.

En novembre 2018, par exemple, une clinique de Fürstenfeldbruck, en Bavière, a été complètement gelée par le virus Emotet.

La clinique a dû se passer d'ordinateurs ; elle a dû diriger les ambulances vers d'autres hôpitaux. Comme nous l'avons appris au début de la conférence, une autre forme de malware, plus perfide, domine désormais la scène. Cela porte atteinte de manière plutôt insidieuse à l'intégrité d'un établissement de soins, mais peut aussi parfois bloquer l'ensemble de l'opération.

Les hôpitaux au centre des attaques

Les auteurs de logiciels malveillants ont concentré leur attention sur les hôpitaux, en particulier au cours du second semestre 2018 - principalement en raison de la maximisation des profits plus prometteuse. La détection des logiciels malveillants ciblant les entreprises a augmenté de manière significative - de 79 % pour être exact - par rapport à l'année précédente.

Cela est principalement dû à l'augmentation des attaques par des moyens détournés, des mineurs, des logiciels espions et des vols d'informations, qui incluent spécifiquement les données sur la santé.

L'année 2018 a vu un changement dans les techniques d'attaque des rançons. Au lieu de l'approche classique des exploits malveillants qui fournissaient des points d'entrée pour les logiciels de rançon, les acteurs de la menace ont mené des attaques ciblées et manuelles.

Il est très complexe non seulement de répartir les dommages, mais aussi de réglementer clairement les responsabilités des responsables de l'information. Le Dr Eric Dubuis, professeur à la Haute école spécialisée de Berne, a souligné que non seulement les directeurs et les médecins des hôpitaux, mais aussi les pharmaciens, les prestataires de services administratifs affiliés et même les employés de laboratoire peuvent être infectés par des logiciels malveillants et espionnés.

De plus en plus d'utilisateurs ont tendance à être exploités pour obtenir des données personnelles via des offres d'ingénierie sociale numérique, par exemple via des applications de communication telles que WhatsApp . WhatsApp, par exemple, a été piraté en mai 2019. Les professionnels de la santé sont également des utilisateurs très actifs de ces outils de communication. La situation de menace dans le secteur de la santé s'accroît donc avec la numérisation et la mise en réseau croissantes.

Négligence dans la transmission des données

Dans les différents volets de la conférence, on a beaucoup appris sur le statu quo de l'industrie médicale. Par exemple, Chris Berger, UMB AG, a souligné certaines lacunes dans le secteur : "Le système de santé suisse n'est numérisé qu'à 20 %, si l'on en croit une étude récente de digital.swiss Je veux être attentif".

Dans son discours d'ouverture sur les "Approches holistiques pour tirer parti des personnes et des infrastructures dans le domaine des soins de santé", M. Berger a souligné à plusieurs reprises que non seulement les dispositifs médicaux contenant des données personnelles particulièrement sensibles sont insuffisamment protégés, mais aussi que les prestataires de soins de santé individuels sont négligents dans leur traitement des données - par exemple, ils transmettent des courriers électroniques non cryptés.

La numérisation et les innovations qui en résultent soutiennent l'amélioration et augmentent l'efficacité des soins de santé. Cependant, l'enregistrement, la transmission, le traitement et l'interprétation électroniques des données de santé ne seront pas accordés de la même manière partout, a conclu M. Berger.

D'autre part, les systèmes autonomes tels que le dossier électronique du patient offrent une plus grande transparence sur le tableau clinique ou les étapes du traitement pour les parties concernées telles que les prestataires de soins et les patients.

Cela favorisera une mise en réseau plus étroite entre les différents prestataires de services et soutiendra une vision globale de la santé des patients. La collecte et la fourniture de données de santé dans un dossier patient protégé est un instrument central pour l'utilisation de ces possibilités.

À Rotkreuz/ZG, les responsables des services hospitaliers concernés ont souligné la nature explosive de la sécurité de l'information dans le secteur de la santé. Selon Franco Cerminara, directeur du conseil d'administration d'InfoGuard AG, des attaques ont lieu tous les jours. Lorsque les pirates informatiques font du chantage aux établissements de santé en publiant les données des patients, ils menacent de nuire à leur réputation et de violer les droits fondamentaux des patients.

Le pire des cas : le black-out

Après tout, une attaque contre des infrastructures essentielles, y compris des établissements de soins de santé, a de graves conséquences pour le bien-être des patients (voir par exemple Panne d'électricité au Venezuela dans la dialyse de 15 patients).

Pour les responsables de la santé en Suisse, les "black-out" ne semblent pas exister car chaque appareil médical est équipé de batteries de rechange.

Mais les prestataires de services hospitaliers sont-ils toujours informés de tous leurs appareils terminaux reliés au réseau ? En cas de défaillance des systèmes les plus importants, des mesures organisationnelles ad hoc complètes avec un déploiement élevé de personnel deviennent nécessaires afin de pouvoir maintenir les opérations autant que possible.

Les employés des établissements de santé ont accès à des données personnelles particulièrement dignes de protection, mais à ce jour, ils n'ont pas été suffisamment sensibilisés à la sécurité informatique ou à la sécurité des informations.

Ce n'est que si les utilisateurs, les fournisseurs et les décideurs "travaillent mieux ensemble", comme l'a conclu la 5e conférence "Sécurité de l'information dans le secteur de la santé", que la sécurité de l'information et la protection des données dans le secteur de la santé suisse pourront être renforcées.

www.infosec-health.ch/conference-2019.html