Faiblesses de la technologie médicale

Chaque salle d'opération dispose d'une alimentation électrique autonome. En cas de panne de courant, les piles s'allument automatiquement. La "rupture excessive" des appareils vitaux est retardée de quelques millisecondes peut-être. Mais quelle pourrait être la gravité de la situation si un système ou le service d'un appareil était autrefois piraté et manipulé ?

Il semble de plus en plus réel que des extorqueurs organisés à l'échelle mondiale tentent de causer des dommages dans les hôpitaux, comme le soulignent des études (voir "Vulnérabilité des hôpitaux suisses aux cyberattaques"). Les hôpitaux et les établissements suisses ont déjà été infectés par des virus informatiques de type DoS (Denial of Service).

Tout comme une panne d'électricité, les virus de cryptage peuvent bloquer des installations d'exploitation individuelles ou provoquer d'autres perturbations. Pendant le carnaval de Neuss en Rhénanie, un hôpital a dû fermer ses serveurs parce qu'ils avaient été piratés. En plus d'une perte à six ou sept chiffres, l'hôpital n'a pas pu traiter d'autres patients gravement blessés - pendant des jours.

Comment éviter de tels cyberrisques dans les institutions suisses et quelles contre-mesures juridiques pourraient être prises à leur encontre ? Entretien avec le professeur Ursula Sury, expert en protection des données

Prof. Sury, est-il difficile d'espionner ou de modifier les données relatives aux dispositifs médicaux ?
Il faudrait en fin de compte faire appel à un expert en informatique. Cependant, il est généralement connu que les dispositifs en réseau mal sécurisés dans les zones sensibles ainsi que dans les hôpitaux publics peuvent être écrémés et manipulés. Cela peut être évité grâce à des mesures de protection informatique rigoureuses, à des obligations correspondantes dans les contrats avec les fournisseurs et prestataires de services informatiques et à la garantie d'une manipulation sûre par les employés.

Connaissez-vous des cas où des équipements ont été altérés de manière à provoquer un dysfonctionnement ?
En général, oui, mais pas spécifiquement. Cependant, je pense que les mauvaises fonctionnalités des appareils me-dizinal apportent les plus gros problèmes. En outre, les données sensibles pourraient être transmises en clair à des fins statistiques (marketing).

La responsabilité est-elle pleinement assumée après une attaque de piratage anonyme ?
Difficile. Vous devez tout documenter - les concepts de sécurité (voir "virus dormants") et tous les processus et procédures. Dans le cas de la responsabilité, la question de la faute se pose toujours, c'est-à-dire si des lacunes en matière de sécurité se sont produites dans un hôpital à la suite d'un manquement démontrable à l'obligation de diligence.

Quelles sont les mesures juridiques utiles pour se protéger contre les accès non autorisés ?
Le principe du consentement s'applique en premier lieu. Les patients ou les résidents des maisons de retraite doivent être informés de leurs droits et obligations en matière de protection des données.

"Vous devez le prouver", dit le professeur Ursula Sury.

Pensez-vous que le stockage de données sensibles dans des appareils et dans des nuages est légalement réglementé aujourd'hui ?
Oui, il existe des dispositions légales suffisantes telles que la loi suisse sur la protection des données (DSG 10a). Malheureusement, ces exigences légales ne sont pas très respectées à l'heure actuelle. - Cependant, il s'agit toujours d'une question de quintessence des mesures de protection opérationnelles et du traitement des données.

La mise en réseau des technologies médicales est-elle une malédiction ou une bénédiction pour le système de santé ?
Un fait qui doit être béni !