Geekly articles weekly

Grande FAQ sur la cybersécurité des systèmes d'information médicale

Un examen analytique des menaces de cybersécurité pour les systèmes d'information médicale pertinentes de 2007 à 2017.


- Quelle est la fréquence des systèmes d'information médicale en Russie?
- Puis-je voir de plus près le système unifié d'information sur les soins de santé (EGSS)?
- Pourriez-vous développer les caractéristiques techniques des systèmes nationaux d'information médicale?
- Quelle est la situation de la cybersécurité du système EMIAS national?
- Quelle est la situation de la cybersécurité des systèmes d'information médicale - en chiffres?
- Les virus informatiques peuvent-ils infecter le matériel médical?
- Les virus rançongiciels sont-ils dangereux pour le secteur médical?
«Si les cyberincidents sont si dangereux, pourquoi les fabricants d'équipements médicaux informatisent-ils leurs appareils?»
- Pourquoi les cybercriminels sont-ils passés du secteur financier et des magasins de détail aux centres médicaux?
- Pourquoi les infections par ransomware sont-elles devenues plus fréquentes dans le secteur médical et continuent-elles d'augmenter?
- Médecins, infirmières et patients affectés par WannaCry - qu'est-ce que cela a été pour eux?
- Comment les cybercriminels peuvent-ils nuire à une clinique de chirurgie plastique?
- Le cybercriminel a volé une carte médicale - comment cela menace-t-il son propriétaire légitime?
- Pourquoi le vol de cartes médicales fait-il l'objet d'une demande si croissante?
- Comment sont les vols de numéros de sécurité sociale avec l'industrie criminelle de la contrefaçon de documents?
- Aujourd'hui, on parle beaucoup des perspectives et de la sécurité des systèmes d'intelligence artificielle. Quelle est la situation du secteur médical?
- Le secteur médical a-t-il appris de la situation avec le WannaCry?
- Comment les centres médicaux assurent-ils la cybersécurité?



Cette revue est marquée par une lettre de remerciements du Ministère de la Santé de la Fédération de Russie (voir écran sous le spoiler).



Quelle est la fréquence des systèmes d'information médicale en Russie?


  • En 2006, Informatics of Siberia (une société informatique spécialisée dans le développement de systèmes d'information médicale) a rapporté [38]: «Le MIT Technology Review publie périodiquement une liste traditionnelle de dix technologies de l'information et de la communication prometteuses qui auront le plus grand impact sur l'homme. la société. En 2006, 6 postes sur 10 de cette liste étaient occupés par des technologies liées d'une manière ou d'une autre à des problèmes médicaux. L'année 2007 a été déclarée en Russie «Année de l'informatisation de la santé». De 2007 à 2017, la dynamique de la dépendance des soins de santé vis-à-vis des technologies de l'information et de la communication ne cesse de croître. »
  • Le 10 septembre 2012, l'Open Systems Information and Analytical Center a rapporté [41] qu'en 2012, 350 cliniques de Moscou étaient connectées à EMIAS (un système d'information et d'analyse médicale unifié). Un peu plus tard, le 24 octobre 2012, la même source a rapporté [42] qu'actuellement 3,8 mille médecins ont des postes de travail automatisés et 1,8 million de personnes ont déjà testé le service EMIAS. Le 12 mai 2015, la même source a rapporté [40] que EMIAS opère dans les 660 polycliniques d'État de Moscou et contient des données de plus de 7 millions de patients.
  • Le 25 juin 2016, le magazine Profile a publié [43] un avis d'expert du centre analytique international de PwC: «Moscou est la seule métropole où un système de gestion unifié pour les polycliniques des villes est entièrement mis en œuvre, tandis qu'une solution similaire dans d'autres villes du monde, y compris New York et Londres, est seulement en discussion. " «Profile» a également indiqué qu'au moment du 25 juillet 2016, 75% des Moscovites (environ 9 millions de personnes) étaient enregistrés dans EMIAS, plus de 20 000 médecins travaillaient dans le système; depuis le lancement du système, plus de 240 millions d'enregistrements avec des médecins ont été enregistrés; quotidiennement dans le système, plus de 500 000 opérations diverses sont effectuées. Le 10 février 2017, Ekho Moskvy a rapporté [39] qu'à l'heure actuelle à Moscou, plus de 97% des rendez-vous médicaux se font sur rendez-vous via l'UMIAS.
  • Le 19 juillet 2016, Veronika Skvortsova, ministre de la Santé de la Fédération de Russie, a annoncé [11] qu'à la fin de 2018, 95% des centres médicaux du pays seraient connectés au système de santé public unifié (EHIS) grâce à l'introduction d'une carte médicale électronique unifiée (CEM). La loi pertinente, qui oblige les régions russes à adhérer au système, a été discutée publiquement, convenue avec tous les organes fédéraux intéressés et sera soumise au gouvernement dans un proche avenir. Veronika Skvortsova a indiqué que dans 83 régions avait organisé un rendez-vous électronique pour un rendez-vous chez le médecin; dans 66 matières, ils ont introduit un système régional unifié de répartition des ambulances; des systèmes d'information médicale fonctionnent dans 81 régions du pays, auxquelles 57% des médecins ont des postes de travail connectés. [11]


Puis-je voir de plus près le système unifié de santé publique informationnelle (USSIZ)?


  • EGSIZ est à l'origine de tous les AII (systèmes d'information médicale) nationaux. Il se compose de fragments régionaux - RISUZ (système régional d'information sur la gestion de la santé). EMIAS, déjà mentionné ci-dessus, est l'un des exemples de RISUZ (le plus célèbre et le plus prometteur). [51] Comme l'explique le comité de rédaction du directeur du Service de l'information [56], le Service d'information unifié de l'État pour le développement social est une infrastructure informatique basée sur le cloud, dont les segments régionaux sont développés par les centres de recherche de Kaliningrad, Kostroma, Novossibirsk, Orel, Saratov, Tomsk et d'autres villes russes. Fédération.
  • Le but de l'Unified State Health Service est d'éradiquer «l'informatisation disparate» des soins de santé; en ancrant les AII de divers départements, qui avant l'introduction de l'USSIZ utilisaient chacun leur propre logiciel sur mesure sans normes centralisées unifiées. [54] Depuis 2008, 26 normes informatiques spécifiques à l'industrie ont été au cœur de l'espace d'information unifié sur les soins de santé de la Fédération de Russie [50]. 20 d'entre eux sont internationaux.
  • Le travail des centres médicaux dépend fortement des AII, comme OpenEMR ou EMIAS. Le SIG permet de stocker des informations sur le patient: résultats du diagnostic, données sur les médicaments prescrits, antécédents médicaux, etc. Les composants les plus courants des AII (au 30 mars 2017): le DSE (dossiers de santé électroniques) est un système de dossiers médicaux électroniques qui stocke les données des patients sous une forme structurée et conserve des antécédents médicaux. NAS (Network Attached Storage) - Stockage connecté au réseau. DICOM (Imagerie numérique et communications en médecine) - une norme pour la formation d'images numériques et leur échange en médecine. Le PACS (Picture Archiving and Communication System) est un système de stockage et d'échange d'images qui fonctionne conformément à la norme DICOM. Crée, stocke et visualise des images et des documents médicaux des patients examinés. Le plus commun des systèmes DICOM. [3] Tous ces AII sont vulnérables aux cyberattaques conçues de manière globale, dont les détails sont accessibles au public.
  • En 2015, Zhilyaev P.S., Goryunova T.I. et Volodin K.I., experts techniques de l'Université technologique d'État de Penza, ont déclaré dans leur article [57] sur la cybersécurité dans le secteur médical que l'UMIAS comprend: 1) CPMM (carte électronique médicale intégrée); 2) registre des patients dans toute la ville; 3) système de gestion du flux des patients; 4) système intégré d'information médicale; 5) un système de comptabilité de gestion consolidée; 6) un système de comptabilité personnalisée pour les soins médicaux; 7) système de gestion du registre médical. Quant au CPMM, selon le rapport [39] de la radio Ekho Moskvy (10 février 2017), ce sous-système a été construit sur la base des meilleures pratiques de la norme OpenEHR, qui est la technologie la plus avancée vers laquelle les pays technologiquement développés se tournent progressivement.
  • Les éditeurs du magazine Computerworld Russia ont également expliqué [41] qu'en plus d'intégrer tous ces services entre eux et avec le SIG des institutions médicales, UMIAS est également intégré avec le logiciel du fragment fédéral "EGIS-Zdrav" (EGIS - un système d'information unifié) et des systèmes électroniques les gouvernements, y compris les portails de services gouvernementaux. Un peu plus tard, le 25 juillet 2016, les rédacteurs du magazine Profil ont précisé [43] que l'UMIAS combine actuellement plusieurs services: un centre situationnel, un registre électronique, une CEM, une prescription électronique, des certificats d'invalidité, des services de laboratoire et des dossiers personnalisés.
  • Le 7 avril 2016, les rédacteurs en chef du magazine «Directeur du service d'information» ont rapporté [59] que EMIAS était venu dans les pharmacies. Dans toutes les pharmacies de Moscou qui vendent des médicaments selon des prescriptions préférentielles, un «système automatisé de gestion de l'approvisionnement en médicaments de la population» a été lancé - M-Pharmacy.
  • Le 19 janvier 2017, la même source a rapporté [58] qu'en 2015, l'introduction d'un service d'information radiologique unifié (ERIS) intégré à l'UMIAS a commencé à Moscou. Pour les médecins qui donnent aux patients des instructions pour le diagnostic, des cartes technologiques pour les études radiologiques, l'échographie, la tomodensitométrie et l'IRM, qui sont intégrées à EMIAS, ont été développées. À mesure que le projet prend de l'expansion, il est prévu de connecter les hôpitaux avec leurs nombreux équipements au service. De nombreux hôpitaux ont leurs propres AII et doivent également s'intégrer avec eux. Les rédacteurs du "Profil" déclarent également qu'en voyant l'expérience positive de la capitale, les régions sont également infectées par l'intérêt pour la mise en place de l'UMIAS.


Pourriez-vous nous expliquer les caractéristiques techniques des systèmes nationaux d'information médicale?


  • Les informations de cette section sont tirées de la revue analytique [49] de «L'informatique de la Sibérie». Environ 70% des systèmes d'information médicale sont construits sur des bases de données relationnelles. En 1999, 47% des systèmes d'information médicale utilisaient des bases de données locales (de bureau), la grande majorité des cas étant des tableaux dBase. Cette approche est typique de la période initiale de développement de logiciels de médecine et de création de produits hautement spécialisés.
  • Chaque année, le nombre de systèmes nationaux basés sur des bases de données de bureau diminue. En 2003, ce chiffre n'était déjà que de 4%. Aujourd'hui, presque aucun des développeurs n'utilise de tables dBase. Certains produits logiciels utilisent leur propre format de base de données; ils sont souvent utilisés dans les guides pharmacologiques électroniques. Actuellement, il existe un système d'information médicale sur le marché domestique, même construit sur son propre SGBD de l'architecture client-serveur: e-Hospital. Il est difficile d'imaginer des raisons objectives à de telles décisions.
  • Lors du développement de systèmes d'information médicale nationaux, les SGBD suivants sont principalement utilisés: Microsoft SQL Server (52,18%), Cache (17,4%), Oracle (13%), Borland Interbase Server (13%), Lotus Notes / Domino (13%). À titre de comparaison: si nous analysons tous les logiciels médicaux qui utilisent l'architecture client-serveur, la part du SGBD Microsoft SQL Server sera de 64%. De nombreux développeurs (17,4%) autorisent l'utilisation de plusieurs SGBD, le plus souvent c'est une combinaison de Microsoft SQL Server et Oracle. Deux systèmes (IS Kondopoga [44] et Paracelsus-A [45]) utilisent simultanément plusieurs SGBD. Tous les SGBD utilisés sont divisés en deux types fondamentalement différents: relationnel et post-relationnel (orienté objet). À ce jour, 70% des systèmes nationaux d'information médicale sont construits sur des SGBD relationnels et 30% - sur des systèmes relationnels.
  • Lors du développement de systèmes d'information médicale, divers outils de programmation sont utilisés. Par exemple, DOCA + [47] est écrit en PHP et JavaScript. "E-Hospital" [48] a été développé dans l'environnement Microsoft Visual C ++. L'amulette est dans Microsoft Visual.NET. " "Infomed" [46], exécutant Windows (98 / Me / NT / 2000 / XP), a une architecture client-serveur à deux niveaux; la partie client est implémentée dans le langage de programmation Delphi; partie serveur - est géré par Oracle DBMS.
  • Environ 40% des développeurs utilisent les outils intégrés au SGBD. 42% utilisent leurs propres développements comme éditeur de rapports; 23% - fonds intégrés au SGBD. 50% des développeurs utilisent Visual Source Safe pour automatiser la conception et les tests de code de programme. En tant que logiciel de création de documentation, 85% des développeurs utilisent des produits Microsoft - un éditeur de texte Word ou, par exemple, les créateurs d'e-Hospital, - Microsoft Help Workshop.
  • En 2015, Ageenko T.Yu. et Andrianov A.V., experts techniques de l'Institut technologique de Moscou, ont publié un article [55], qui décrivait en détail les détails techniques du système d'information automatisé de l'hôpital (GAIS), y compris l'infrastructure réseau typique d'une institution médicale et les problèmes urgents de garantir sa cybersécurité. GAIS est un réseau sécurisé sur lequel EMIAS opère, le plus prometteur des AII russes.
  • L'informatique de la Sibérie déclare [53] que les deux centres de recherche les plus autorisés impliqués dans le développement des SIG sont l'Institut des systèmes de programme de l'Académie russe des sciences (situé dans l'ancienne ville russe de Pereslavl-Zalessky) et l'organisation à but non lucratif Foundation for the Development and Provision of Specialized Medical Care, Medsanchast- 168 "(situé dans l'Academgorodok de la ville de Novossibirsk). L'informatique même de la Sibérie, qui peut également être incluse dans cette liste, est située dans la ville d'Omsk.


Quelle est la situation en matière de cybersécurité du système EMIAS national?


  • Le 10 février 2017, Vladimir Makarov, commissaire du projet EMIAS, a partagé dans son interview pour la radio Ekho Moskvy [39] qu'il n'y a pas de cybersécurité absolue: «Il y a toujours un risque de fuite de données. Vous devez vous habituer au fait que l'utilisation de toute technologie moderne a pour conséquence que tout ce qui vous concerne peut devenir connu. Les boîtes aux lettres électroniques, même des premières personnes de l'État, sont ouvertes. » À cet égard, nous pouvons mentionner le récent incident, à la suite duquel le courrier électronique d'environ 90 membres du Parlement britannique a été compromis.
  • Le 12 mai 2015, le Département des technologies de l'information de Moscou [40] a parlé de quatre points clés du KSIB (Integrated Information Security System) pour UMIAS: 1) protection physique - les données sont stockées sur des serveurs modernes situés dans des salles souterraines, dont l'accès est strictement réglementé; 2) protection logicielle - les données sont transmises sous forme cryptée sur des canaux de communication sécurisés; en outre, un seul patient peut recevoir des informations à la fois; 3) accès autorisé aux données - le médecin est identifié par une carte à puce personnelle; pour le patient, l'identification à deux facteurs est prévue par la police d'assurance médicale obligatoire et la date de naissance.
  • 4) Les données médicales et personnelles sont stockées séparément, dans deux bases de données différentes, ce qui garantit en outre leur sécurité; Les serveurs EMIAS accumulent des informations médicales sous forme anonyme: visites chez le médecin, rendez-vous, fiches d'invalidité, références, ordonnances et autres détails; et les données personnelles - le numéro de la police d'assurance médicale obligatoire, le nom, le prénom, le deuxième prénom, le sexe et la date de naissance - sont contenues dans les bases de données du Fonds de la ville de Moscou pour l'assurance médicale obligatoire; les données de ces deux bases de données ne sont connectées visuellement que sur le moniteur du médecin, après identification.
  • Cependant, malgré l'imprégnabilité apparente d'une telle défense UMIAS, les technologies modernes de cyberattaque, dont les détails sont accessibles au public, permettent de casser même une telle défense. Voir par exemple la description de l'attaque du nouveau navigateur Microsoft Edge - en l'absence d'erreurs logicielles et avec l'état actif de toutes les protections disponibles. [62] De plus, l'absence d'erreurs dans le code du programme est une utopie en soi. En savoir plus à ce sujet dans la présentation «Les secrets muets des cyber-défenseurs». [63]
  • En raison d'une cyberattaque à grande échelle, le 27 juin 2017, la clinique Invitro a suspendu la collecte de biomatériaux et la livraison des résultats d'analyse en Russie, en Biélorussie et au Kazakhstan. [64]
  • Le 12 mai 2017, Kaspersky Lab a enregistré [60] 45 000 cyberattaques réussies du virus rançongiciel WannaCry dans 74 pays du monde; et la plupart de ces attaques ont eu lieu en Russie. Trois jours plus tard (15 mai 2017), la société antivirus Avast a enregistré [61] 200 000 attaques kieber contre le virus rançongiciel WannaCry et a signalé que plus de la moitié de ces attaques se sont produites en Russie. L'agence de presse BBC a rapporté (13 mai 2017) que le ministère russe de la Santé, le ministère de l'Intérieur, la Banque centrale et le comité d'enquête ont été victimes du virus en Russie, entre autres. [61]
  • Cependant, les centres de presse de ces services et d'autres départements russes affirment à l'unanimité que les cyberattaques du virus WannaCry, bien qu'elles aient eu lieu, ont échoué. La plupart des publications en russe sur les incidents déplorables avec WannaCry, mentionnant une agence russe particulière, ajoutent à la hâte quelque chose comme: "Mais selon les chiffres officiels, les dégâts n'ont pas été causés". D'un autre côté, la presse occidentale est convaincue que les conséquences de la cyberattaque du virus WannaCry sont plus tangibles que celles présentées dans la presse russe. La presse occidentale en est si sûre qu’elle a même levé les soupçons de la Russie d’implication dans cette cyberattaque. À qui faire davantage confiance - les médias occidentaux ou nationaux - est une affaire privée pour tout le monde. Il ne faut pas oublier que les deux parties ont leurs propres motifs d'exagérer et de minimiser des faits fiables.


– ?


  • 1 2017 ( «Brigham and Women's Hospital» ) ( ) , «Harvard Business Review» [18], : . .
  • 3 2017 «SmartBrief» [24], 2017 250 , . 50% ( ). 30% – . , 16 [22], 2017 – .
  • 17 2013 , « », , [21], 2012 94% . 65% , 2010-2011 . , 45% , ; , 2012-2013 . , , , – .
  • [21], 2010-2012, , 20 . , : , , , , . , , (. « ?»). , , , .
  • 2 2014 , MIT [10], - . 2014 600% , 2013. [26], 2016 4000 – , 2015 . -; – . : , .
  • 19 2017 «» [23] Verizon 2017 , 72% - . 12 50%.
  • 1 2017 «Harvard Busines Review» [18] , , , 2015 113 . 2016 – 16 . , , 2016 , . 2017 Expirian [27], – .
  • [37] . , InfoWatch, (2005-2006) . 60% , , . 40% . [36] – . , .


?


  • 17 2012 , MIT, [1], , , , «» ; . . , , – , .
  • , 2009 Conficker «Beth Israel» , ( Philips) ( General Electric). , , IT- , – , – . , « - ». , . – . . [1]
  • «» , . , . . [1] , 12 2017 ( - WannaCry) [28], , , – , , .


- ?


  • 3 2016 , «Carbonite», , [19] «Harvard Business Review», - – , ; , . - , – , – - . , , . [19]
  • [19], - , – $300 $500. , – . [19]
  • 16 2016 «Guardian» [13], -, «Hollywood Presbyterian Medical Center» . , – , – , .
  • 17 2016 «Hollywood Presbyterian Medical Center» [30] : « 5 . . . . 40 ($17000). , .. . , ».
  • 12 2017 «New York Times» [28], WannaCry , . : « , ». - , .


, ?


  • 9 2008 , , MIT, « : Plug and Play» [2]: «» – . , , , , . .
  • 9 2009 , IT- « », – , – [2] : « , , – , . ».
  • , – , , . , , . , . ( ), – . [2]
  • , . , , , . , , – . , , – , . , . . , . . – , , . [2]
  • 13 2017 , «Johns Hopkins Medicine», [17] «Harvard Business Review» : « , . , . . , , , . , . . ; – , ».
  • , . , , , , . – 30% . « » – . « », , , .. , – , – . [17]


– ?


  • 16 2016 , «Guardian», , , – , – . , . [13]
  • 23 2014 , «Reuters» [12], . , , . .
  • 18 février 2016 Mike Orkut, expert technique du MIT, a déclaré que l'intérêt des cybercriminels dans le secteur médical était dû aux cinq raisons suivantes: 1) La plupart des centres médicaux ont déjà transféré tous leurs documents et cartes sous forme numérique; les autres sont en cours de transfert. Les données de ces cartes contiennent des informations personnelles très appréciées sur le marché noir de Darknet. 2) La cybersécurité dans les centres médicaux n'est pas une priorité; ils utilisent souvent des systèmes hérités et ne les prennent pas correctement en charge. 3) Le besoin d'un accès rapide aux données dans les situations d'urgence dépasse souvent le besoin de sécurité, c'est pourquoi les hôpitaux ont tendance à négliger la cybersécurité, même conscients des conséquences possibles. 4) Les hôpitaux connectent de plus en plus d'appareils à leur réseau, donc les méchants ont plus d'options pour entrer dans le réseau hospitalier. 5) La tendance vers une médecine plus personnalisée - en particulier, la nécessité pour les patients d'avoir un accès complet à leur CEM - fait du MIS une cible encore plus accessible. [14]
  • Le commerce de détail et le secteur financier sont depuis longtemps une cible populaire pour les cybercriminels. Comme les informations volées à ces institutions inondent le marché noir de Darknet, elles deviennent moins chères et, par conséquent, il n'est pas rentable pour les méchants de les voler et de les vendre. Par conséquent, les méchants maîtrisent désormais un nouveau secteur plus rentable. [12]
  • Sur le marché noir de Darknet, les cartes médicales sont beaucoup plus chères que les numéros de carte de crédit. D'abord parce qu'ils peuvent être utilisés pour accéder à des comptes bancaires et recevoir des ordonnances de médicaments contrôlés. Deuxièmement, parce que le fait du vol d'une carte médicale et le fait de son utilisation illégale sont beaucoup plus difficiles à détecter, et du moment de l'abus au moment de la détection, cela prend beaucoup plus de temps qu'en cas d'abus d'une carte de crédit. [12]
  • Selon Dell, certains cybercriminels particulièrement entreprenants combinent des informations sur la santé extraites de dossiers médicaux volés avec d'autres données sensibles, etc. récupérer un paquet de faux documents. Ces packages sont appelés fullz et kitz dans le jargon du marché noir de Darknet. Le prix de chacun de ces forfaits dépasse 1 000 $. [12]
  • Le 1er avril 2016, Tom Simont, expert technique au MIT, a déclaré [4] qu'une différence significative entre les cybermenaces dans le secteur médical est la gravité des conséquences qu'elles promettent. Par exemple, si vous perdez l'accès à votre messagerie professionnelle, vous serez naturellement contrarié; cependant, perdre l'accès aux dossiers médicaux contenant les informations nécessaires pour traiter les patients est une tout autre affaire.
  • Par conséquent, pour les cybercriminels - qui comprennent que ces informations sont très précieuses pour les médecins - le secteur médical est une cible très attrayante. Tellement attrayant qu'ils investissent constamment pour rendre leurs virus rançongiciels encore plus parfaits; pour garder une longueur d'avance dans leur lutte éternelle avec les systèmes antivirus. Les quantités impressionnantes qu'ils collectent grâce aux virus rançongiciels leur donnent la possibilité de ne pas lésiner sur de tels investissements, et ces coûts sont payants avec intérêt. [4]


Pourquoi les infections par ransomwares sont-elles devenues plus courantes dans le secteur médical et continuent-elles d'augmenter?


  • Le 1er juin 2017, Rebecca Weintrab (médecin-chef titulaire d'un doctorat au Brigham and Women's Hospital) et Joram Borenstein (ingénieur en cybersécurité) ont publié les résultats de leur étude conjointe sur la cybersécurité dans le secteur médical [18] dans la Harvard Business Review. Les points clés de leurs recherches sont présentés ci-dessous.
  • Aucune organisation n'est à l'abri du piratage. C'est la réalité dans laquelle nous vivons, et cette réalité est devenue particulièrement évidente au milieu du mois de mai 2017, la propagation sensationnelle du virus rançongiciel WannaCry s'est produite, qui a infecté les centres médicaux et d'autres organisations à travers le monde. [18]
  • En 2016, les administrateurs de la grande clinique externe du Hollywood Presbyterian Medical Center ont découvert de manière inattendue qu'ils avaient perdu l'accès aux informations sur leurs ordinateurs. Les médecins ne pouvaient pas accéder à la CEM de leurs patients; et même à vos propres rapports. Toutes les informations sur leurs ordinateurs ont été cryptées avec un virus rançongiciel. Alors que toutes les informations de la clinique étaient retenues en otage par des agresseurs, les médecins ont été contraints de rediriger les clients vers d'autres hôpitaux. Pendant deux semaines, ils ont tout écrit sur papier jusqu'à ce qu'ils décident de payer la rançon exigée par les assaillants - 17 000 $ (40 bitcoins). Il n'a pas été possible de suivre le paiement, car la rançon a été payée via un système de paiement Bitcoin anonyme. Si les experts en cybersécurité avaient entendu il y a quelques années que les décideurs seraient perplexes en convertissant de l'argent en crypto-monnaie - ils n'auraient pas cru pour payer la rançon au développeur du virus. Cependant, c'est exactement ce qui s'est produit aujourd'hui. Les gens ordinaires, les propriétaires de petites entreprises et les grandes entreprises sont tous ciblés par les virus rançongiciels. [19]
  • En ce qui concerne l'ingénierie sociale, les e-mails de phishing contenant des liens et des pièces jointes malveillants ne sont plus envoyés au nom de parents à l'étranger qui souhaitent vous léguer une partie de leur fortune en échange d'informations confidentielles. Aujourd'hui, les e-mails de phishing sont des appels bien préparés, sans fautes de frappe; souvent déguisé en documents officiels avec logos et signatures. Certains d'entre eux ne peuvent être distingués de la correspondance commerciale régulière ou des notifications légitimes de mise à jour des applications. Parfois, les décideurs engagés dans le recrutement du personnel reçoivent des lettres d'un candidat prometteur - avec un curriculum vitae joint à la lettre, qui comprend un virus rançongiciel. [19]
  • Cependant, l'ingénierie sociale avancée n'est pas si mauvaise. Pire encore, le lancement du virus rançongiciel peut se produire sans la participation directe de l'utilisateur. Les virus rançongiciels peuvent se propager par des failles de sécurité; ou via d'anciennes applications non protégées. Au moins chaque semaine, un type fondamentalement nouveau de virus ransomware apparaît; et le nombre de façons dont les virus rançongiciels s'infiltrent dans les systèmes informatiques est en constante augmentation. [19]
  • Par exemple, en ce qui concerne le virus rançongiciel WannaCry ... Initialement (15 mai 2017), les experts en sécurité ont conclu [25] que la principale raison de l'infection du système de santé national britannique est que les hôpitaux utilisent une version obsolète du système d'exploitation Windows-XP (les hôpitaux utilisent ce système car beaucoup d'équipements hospitaliers coûteux ne sont pas compatibles avec les nouvelles versions de Windows). Cependant, un peu plus tard (22 mai 2017), il s'est avéré [29] qu'une tentative d'exécution de WannaCry sur Windows XP entraînait souvent un crash informatique, sans infection; et la partie principale des machines infectées fonctionnait sous Windows 7. En outre, on pensait initialement que le virus WannaCry se propageait par le phishing, mais il s'est avéré plus tard que ce virus se propageait, comme un ver de réseau, sans assistance utilisateur.
  • De plus, il existe des moteurs de recherche spécialisés qui ne recherchent pas des sites sur le réseau, mais des équipements physiques. Grâce à eux, vous pouvez savoir à quel endroit, dans quel hôpital, quel équipement est connecté au réseau. [3]
  • Un autre facteur important dans la prévalence des virus de rançongiciels est l'accès au Bitcoin de crypto-monnaie. La facilité de collecte anonyme de paiements du monde entier - contribue à la croissance de la cybercriminalité. De plus, en transférant de l'argent vers un ransomware, vous stimulez ainsi l'extorsion répétée. [19]
  • Dans le même temps, les cybercriminels ont appris à saisir même les systèmes sur lesquels la protection la plus moderne est déployée et les dernières mises à jour logicielles; et les moyens de détection et de décryptage (auxquels ont recours les systèmes de protection) ne fonctionnent pas toujours; surtout si l'attaque est ciblée et unique. [19]
  • Cependant, il existe toujours une contre-mesure efficace contre les virus rançongiciels: sauvegarder les données critiques. Pour qu'en cas de problème, les données puissent être facilement restaurées. [19]


Médecins, infirmières et patients affectés par WannaCry - comment cela s'est-il passé pour eux?


  • Le 13 mai 2017, Sarah Marsh, une journaliste du Guardian, a interviewé plusieurs victimes du virus rançongiciel WannaCry pour comprendre ce que l'incident [5] s'est avéré être pour les victimes (les noms ont changé, pour des raisons de confidentialité):
  • Sergey Petrovich, médecin: Je n'ai pas pu prodiguer de soins appropriés aux patients. Quelle que soit la façon dont les dirigeants convainquent le public que les cyberincidents n'affectent pas la sécurité des patients finaux, ce n'est pas vrai. Nous ne pouvions même pas faire de radiographies lorsque nos systèmes informatiques étaient tombés en panne. Et pratiquement aucune procédure médicale n'est complète sans ces images. Par exemple, en cette soirée malheureuse, j'ai reçu un patient et j'ai dû l'envoyer à une radiographie, mais comme nos systèmes informatisés étaient paralysés, je n'ai pas pu le faire. [5]
  • Vera Mikhailovna, une patiente atteinte d'un cancer du sein: Ayant subi une séance de chimiothérapie, j'étais à mi-chemin de l'hôpital, mais à ce moment une cyberattaque s'est produite. Et bien que la séance soit déjà terminée, j'ai dû passer plusieurs heures de plus à l'hôpital - en attendant le moment où ils me donneraient enfin le médicament. L'attelage est dû au fait qu'avant de délivrer les médicaments, le personnel médical vérifie leur conformité aux prescriptions, et ces contrôles sont effectués par des systèmes informatisés. Les patients qui me suivaient à leur tour étaient déjà en salle pour une séance de chimiothérapie; leurs médicaments ont également été livrés. Mais comme leur conformité aux recettes était impossible à vérifier, la procédure a été reportée. Le traitement des autres patients a généralement été reporté le lendemain. [5]
  • Tatyana Ivanovna, infirmière: Lundi, nous n'avons pas pu voir la CEM des patients et la liste des rendez-vous prévus pour aujourd'hui. J'étais de service à la réception des candidatures ce week-end, donc lundi, alors que notre hôpital était victime d'une cyberattaque, je devais me rappeler qui exactement devait se présenter à la réception. Les systèmes d'information de notre hôpital sont bloqués. Nous ne pouvions pas regarder les antécédents médicaux, nous ne pouvions pas regarder les prescriptions de médicaments; n'a pas pu voir les adresses et les coordonnées des patients; remplir des documents; Vérifiez les résultats des tests. [5]
  • Evgeny Sergeevich, administrateur système: Habituellement, nous avons le plus de visiteurs le vendredi après le déjeuner. C'était donc ce vendredi. L'hôpital était plein de monde et 5 employés de l'hôpital étaient de service à la réception des demandes téléphoniques, et leurs téléphones sonnaient continuellement. Tous nos systèmes informatiques ont bien fonctionné, mais vers 15 heures, tous les écrans d'ordinateur sont devenus noirs. Nos médecins et nos infirmières ont perdu l'accès à la CEM des patients et le personnel de service à la réception des appels n'a pas pu saisir les applications dans l'ordinateur. [5]


Comment les cybercriminels peuvent-ils nuire à une clinique de chirurgie plastique?


  • Selon le Guardian [6], le 30 mai 2017, le groupe criminel de la Garde tsariste a publié des données confidentielles sur 25 000 patients à la clinique de chirurgie plastique lituanienne Grozio Chirurgija. Y compris des photographies intimes privées prises avant, pendant et après les opérations (leur stockage est nécessaire compte tenu des spécificités de la clinique); ainsi que les scans de passeport et les numéros de sécurité sociale. Puisque la clinique a une bonne réputation et des prix abordables, les résidents de 60 pays, y compris des célébrités de renommée mondiale, utilisent ses services [7]. Tous ont été victimes de ce cyberincident.
  • Quelques mois plus tôt, après avoir piraté les serveurs de la clinique et leur avoir volé des données, les «gardes» ont exigé une rançon de 300 bitcoins (environ 800 000 $). La direction de la clinique a refusé de coopérer avec les "gardes" et est restée ferme même lorsque les "gardes" ont réduit le prix de rachat à 50 bitcoins (environ 120 000 dollars). [6]
  • Ayant perdu espoir de recevoir une rançon de la clinique, les "gardes" ont décidé de passer chez ses clients. En mars, ils ont publié des photos de 150 patients en clinique à Darknet [8] pour effrayer les autres et les faire déborder. Les «gardes» ont demandé une rançon de 50 à 2 000 euros, avec paiement en bitcoin, en fonction de la renommée de la victime et de l'intimité des informations volées. Le nombre exact de patients victimes de chantage n'est pas connu, mais plusieurs dizaines de victimes se sont tournées vers la police. Maintenant, trois mois plus tard, les "gardes" ont publié les données confidentielles de 25 000 autres clients. [6]


Le cybercriminel a volé une carte médicale - qu'est-ce qui menace son propriétaire légitime?


  • Le 19 octobre 2016, Adam Levin, un expert en cybersécurité qui dirige le centre de recherche CyberScout, a noté [9] que nous vivons à une époque où les dossiers médicaux commençaient à inclure une quantité alarmante d'informations trop intimes: sur les maladies, les diagnostics, le traitement et environ problèmes de santé. Une fois entre de mauvaises mains, ces informations peuvent être utilisées pour tirer parti du marché noir de Darknet, c'est pourquoi les cybercriminels choisissent très souvent les centres médicaux comme cible.
  • Le 2 septembre 2014, Mike Orkut, expert technique au MIT, a déclaré [10]: «Alors que les numéros de cartes de crédit et les numéros de sécurité sociale volés sont à eux seuls moins demandés sur le marché noir de Darknet - des cartes médicales contenant de nombreuses informations personnelles, là à un bon prix. Y compris parce qu’ils donnent aux personnes non assurées la possibilité de recevoir des soins médicaux qu’elles n’auraient pas pu se permettre autrement. »
  • Une carte médicale volée peut être utilisée pour recevoir des soins médicaux au nom du propriétaire légal de cette carte. En conséquence, les données médicales de son propriétaire légal et les données médicales du voleur seront mélangées dans la carte médicale. De plus, si un voleur vend des cartes médicales volées à des tiers, la carte peut être encore plus contaminée. Par conséquent, étant arrivé à l'hôpital, le propriétaire légal de la carte risque de recevoir des soins médicaux qui seront basés sur le groupe sanguin de quelqu'un d'autre, sur les antécédents médicaux de quelqu'un d'autre, sur la liste des réactions allergiques de quelqu'un d'autre, etc. [9]
  • En outre, le voleur peut épuiser la limite d'assurance du titulaire légal de la carte médicale, ce qui privera ce dernier de la possibilité de recevoir les soins médicaux nécessaires en cas de besoin. Au moment le plus inopportun. En effet, de nombreux régimes d'assurance ont des restrictions annuelles sur certains types de procédures et de traitements. Et certainement aucune compagnie d'assurance ne vous paiera pour deux opérations d'appendicite. [9]
  • En utilisant une carte médicale volée, un voleur peut abuser de médicaments sur ordonnance. Dans le même temps, priver le propriétaire légitime de la possibilité d'obtenir les médicaments nécessaires quand il en a besoin. Après tout, les prescriptions de médicaments sont généralement limitées. [9]
  • L'élimination des cyberattaques massives contre les cartes de crédit et de débit n'est pas si problématique. La protection contre les attaques de phishing ciblées est un peu plus problématique. Cependant, en ce qui concerne le vol et l'abus de CEM, le crime peut être presque invisible. Si le fait d'un crime est découvert, ce n'est généralement que dans une situation d'urgence, lorsque les conséquences peuvent littéralement mettre la vie en danger. [9]


Pourquoi le vol de cartes médicales fait-il l'objet d'une demande si croissante?


  • En mars 2017, le Centre de lutte contre le vol d'identité a signalé que plus de 25% des fuites de données confidentielles provenaient de centres médicaux. Ces fuites causent des dommages annuels de 5,6 milliards de dollars aux centres médicaux. Voici quelques raisons pour lesquelles le vol de dossiers médicaux est si demandé. [18]
  • Les cartes médicales sont les produits les plus populaires sur le marché noir de Darknet. Les cartes médicales y sont vendues 50 $ pièce. À titre de comparaison, les numéros de carte de crédit sont vendus dans Darknet pour 1 $ chacun - 50 fois moins cher que les cartes médicales. La demande de cartes médicales est également due au fait qu'elles sont des consommables dans le cadre de services criminels complets pour la falsification de documents. [18]
  • Si l'acheteur de cartes médicales n'a pas été trouvé, l'agresseur peut utiliser lui-même la carte médicale et effectuer le vol traditionnel: les cartes médicales contiennent suffisamment d'informations pour obtenir une carte de crédit au nom de la victime, ouvrir un compte bancaire ou contracter un emprunt. [18]
  • Ayant en main une carte médicale volée, un cybercriminel, par exemple, peut mener une attaque de phishing ciblée complexe (au sens figuré, affûter une lance de phishing), se faisant passer pour une banque: «Bonjour, nous savons que vous allez subir une intervention chirurgicale. N'oubliez pas de payer les services associés en cliquant sur ce lien. " Et puis vous pensez: "Eh bien, comme ils savent que je vais me faire opérer demain, c'est probablement une lettre de la banque." Si un attaquant ici ne parvient pas non plus à réaliser le potentiel des cartes médicales volées, il peut utiliser le virus rançongiciel pour extorquer de l'argent au centre médical - pour restaurer l'accès aux systèmes et aux données bloqués. [18]
  • , – , – , . , , , , – , , . [18]
  • IT- . , , – . [18]
  • , . – . , – - . [18]
  • , . IT- , . , , , IT- . [18]
  • , , – . [18]


?


  • 30 2015 «Tom's Guide» [31], . , - , , (SSN) . – - . , – . , SSN . , , – , . – . , SSN, .
  • [31], [32]; , [34]. , , , , , .
  • , – .. -. - , , – . . [33]
  • – , , . , SSN , – - , -, SSN. [33]
  • 2007 , SSN [34]. SSN, , – SSN . «», 2014 , – 2009 , 100 . , – , – . [34]
  • SSN 50 , SSN . SSN , SSN 18 . T.O. SSN, – . – SSN- . [34]


. ?


  • 2017 «MIT Technology Review», , , « », . [35]:
  • () , , . – , , . « » – : , , . [35]
  • , ; , . – – , , . , , – . [35]
  • , . , . , – , , , « ». , – . , , – , – , , « ». , , , . – ? [35]
  • 2015 «-», -, – . , -, , , , . , – « ». 700 . . . - , « » , , – , , . , , « » . , : « » , . , , . « » , . [35]
  • , , – , , . . , , . – . , , . – , . , ? [35]


WannaCry?


  • 25 2017 «» , [16] – , . : .
  • «» [16], , 8000 ; , WannaCry, 17% . , WannaCry, 5% . , 60 .
  • 13 2017 , WannaCry, , «Johns Hopkins Medicine» [17] «Harvard Business Review» , – .
  • 15 2017 , WannaCry, , , [15] «Harvard Business Review» , , – .
  • 20 2017 , WannaCry, , – «Brigham and Women's Hospital», [20] «Harvard Business Review» , , . , . 34 . , . .


?


  • 2006 , - [52]: « . . , . , 10 20 . , , , ».
  • 3 2016 , IBM Hewlett Packard, «Carbonite», , – [19] «Harvard Business Review» : « - , , CEO , . , CEO IT-. . : 1) - ; 2) ; 3) ».
  • . [18], : « – . , . , , , , , – , ».
  • 19 2017 «» [23], WannaCry 25% . , Verizon, – , ; , .

PS ? , . ( 70) , , , .


Bibliographie
  1. David Talbot. Computer Viruses Are "Rampant" on Medical Devices in Hospitals // MIT Technology Review (Digital). 2012.
  2. Kristina Grifantini. "Plug and Play" Hospitals // MIT Technology Review (Digital). 2008.
  3. . «» // SecureList. 2017.
  4. Tom Simonite. With Hospital Ransomware Infections, the Patients Are at Risk // MIT Technology Review (Digital). 2016..
  5. Sarah Marsh. NHS workers and patients on how cyber-attack has affected them // The Guardian. 2017.
  6. Alex Hern. Hackers publish private photos from cosmetic surgery clinic // The Guardian. 2017.
  7. Sarunas Cerniauskas. Lithuania: Cybercriminals Blackmail Plastic Surgery Clinic with Stolen Photos // OCCRP: Organized Crime and Corruption Reporting Progect. 2017.
  8. Ray Walsh. Naked Plastic Surgery Patient Photos Leaked on Internet // BestVPN. 2017.
  9. Adam Levin. Physician Heal Thyself: Are Your Medical Records Safe? // HuffPost. 2016.
  10. Mike Orcutt. Hackers Are Homing In on Hospitals // MIT Technology Review (Digital). 2014.
  11. . 2017. // : - . 2016.
  12. Jim Finkle. Exclusive: FBI warns healthcare sector vulnerable to cyber attacks // Reuters. 2014.
  13. Julia Carrie Wong. Los Angeles hospital returns to faxes and paper charts after cyberattack // The Guardian. 2016.
  14. Mike Orcutt. Hollywood Hospital's Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime // MIT Technology Review (Digital). 2016.
  15. Robert M. Pearl, MD (Harvard). What Health Systems, Hospitals, and Physicians Need to Know About Implementing Electronic Health Records // Harvard Business Review (Digital). 2017.
  16. 'Thousands' of known bugs found in pacemaker code // BBC. 2017.
  17. Peter Pronovost, MD. Hospitals Are Dramatically Overpaying for Their Technology // Harvard Business Review (Digital). 2017.
  18. Rebecca Weintraub, MD (Harvard), Joram Borenstein. 11 Things the Health Care Sector Must Do to Improve Cybersecurity // Harvard Business Review (Digital). 2017.
  19. Mohamad Ali. Is Your Company Ready for a Ransomware Attack? // Harvard Business Review (Digital). 2016.
  20. Meetali Kakad, MD, David Westfall Bates, MD. Getting Buy-In for Predictive Analytics in Health Care // Harvard Business Review (Digital). 2017.
  21. Michael Gregg. Why Your Medical Records Are No Longer Safe // HuffPost. 2013.
  22. Report: Health care leads in data breach incidents in 2017 // SmartBrief. 2017.
  23. Matthew Wall, Mark Ward. WannaCry: What can you do to protect your business? // BBC. 2017.
  24. More than 1M records exposed so far in 2017 data breaches // BBC. 2017.
  25. Alex Hern. Who is to blame for exposing the NHS to cyber-attacks? // The Guardian. 2017.
  26. How to Protect Your Networks From Ransomware // FBI. 2017.
  27. Data Breach Industry Forecast // Rxperian. 2017.
  28. Steven Erlanger, Dan Bilefsky, Sewell Chan. UK Health Service Ignored Warnings for Months // The New York Times. 2017.
  29. Windows 7 hardest hit by WannaCry worm // BBC. 2017.
  30. Allen Stefanek. Hollwood Pressbyterian Medica Center .
  31. Linda Rosencrance. Synthetic Identity Theft: How Crooks Create a New You // Tom's Guide. 2015.
  32. What is Synthetic Identity Theft and How to Prevent It .
  33. Synthetic Identity Theft .
  34. Steven D'Alfonso. Synthetic Identity Theft: Three Ways Synthetic Identities Are Created // Security Intelligence. 2014.
  35. Will Knight. The Dark Secret at the Heart of AI // MIT Technology Review. 120(3), 2017.
  36. .. - // « ».
  37. // « ».
  38. // « ».
  39. . // « ».
  40. // . 2015.
  41. . // Computerworld . 2012.
  42. . // Computerworld . 2012.
  43. . // . 2016.
  44. . // 2012.
  45. «-» .
  46. .. «» // « ».
  47. () + .
  48. E-Hospital. .
  49. // « ».
  50. IT- ?
  51. () // « ».
  52. // « ».
  53. // « ».
  54. // « ».
  55. .., .. // IT-. 3(4). 2015.
  56. IT : // . 2013.
  57. .., .., .. // . 2015.
  58. . // . 2017.
  59. . – « » // . 2016.
  60. « »: WannaCry // 2017.
  61. . // . 2017.
  62. Erik Bosman, Kaveh Razavi. Dedup Est Machina: Memory Deduplication as an Advanced Exploitation Vector // Proceedings of the IEEE Symposium on Security and Privacy. 2016. pp. 987-1004.
  63. Bruce Potter. Dirty Little Secrets of Information Security // DEFCON 15. 2007.
  64. . «» - .

Source: https://habr.com/ru/post/fr460361/

More articles:


All Articles