Soins de santé: le nouveau vecteur d'attaque pour les escrocs et les voleurs d'identité

Publicité

Nous sommes tous de plus en plus avertis du vol d'identité en ligne.

Il ne se passe pas trop de jours sans entendre parler d'une grande entreprise victime d'une forme de violation de données; nous n'entendons pas toujours parler de la gravité, sauf si cela implique des quantités importantes de données client. De même, nous traitons nos dossiers de santé avec une égale confidentialité. Ils contiennent des informations personnelles sensibles qui pourraient être utilisées contre nous entre de mauvaises mains.

Nous connaissons et comprenons depuis longtemps le besoin de confidentialité concernant les dossiers médicaux, et heureusement, nos médecins et infirmières ont juré de respecter cette confidentialité. Dans le monde jadis basé sur le papier, l'accès non autorisé aux dossiers médicaux se ferait via un tour de passe-passe ou un travail interne.

Mais maintenant, l'industrie médicale mondiale est désormais numérisée, tout comme nos dossiers. Il y a des avantages énormes à avoir un dossier médical numérisé, mais est-ce que mettre vos données personnelles sur la ligne de tir en vaut la peine?

Vol d'identité médicale

Il n'y a pas de doute le vol d'identité médicale est en hausse 5 raisons pour lesquelles le vol d'identité médicale augmenteLes escrocs veulent vos informations personnelles et vos informations bancaires - mais saviez-vous que votre dossier médical les intéresse également? Découvrez ce que vous pouvez y faire. Lire la suite . Les escrocs qui recherchent traditionnellement coordonnées bancaires et compte en ligne 3 conseils de prévention de la fraude en ligne que vous devez savoir en 2014 Lire la suite se tournent de plus en plus vers les dossiers médicaux. Pourquoi? Eh bien, d'une part, ils regorgent des informations les plus personnelles concernant quelque chose qui nous tient tous à cœur: nos vies.

Votre dossier médical tient tout de vos informations personnelles: nom, adresse, date de naissance, numéro de sécurité sociale (ou équivalent) et, dans certains cas, elles contiendront des informations de facturation et des informations sur votre carte de crédit ou de débit. Cela rend évidemment un dossier médical très précieux - plus précieux que votre compte bancaire Voici combien votre identité pourrait valoir sur le Dark WebIl est inconfortable de vous considérer comme une marchandise, mais toutes vos informations personnelles, du nom et de l'adresse aux détails du compte bancaire, valent quelque chose pour les criminels en ligne. Combien valez-vous? Lire la suite détails (enfin, en fonction du nombre de zéro dans votre compte!).

La facilité avec laquelle les pirates accèdent aux dossiers médicaux les rend encore plus attrayants. Malgré des années de connaissance préalable de la numérisation des dossiers médicaux, de nombreux établissements médicaux ne sont en aucun cas équipés pour faire face à la menace omnisciente de la cybercriminalité. Il n'est donc pas surprenant que le pourcentage d'organisations de santé américaines signalant des attaques potentielles soit passé de 20% en 2009 à 40% en 2013. Rien qu'en 2015, nous avons vu signalé officiellement 108,8 millions dossiers individuels violés La FCC préserve la neutralité du Net, l'assureur santé des pirates informatiques attaque [Tech News Digest]Les règles de neutralité du Net, Anthem souffre de problèmes de santé, BT achète EE, des tweets sur Google, Netflix atterrit au Japon et les plus grandes publicités du Super Bowl sont refaites en LEGO. Lire la suite dans cinq établissements de santé distincts; chaque organisation a signalé que son serveur réseau avait été violé:

N.B: Le tableau ci-dessus présente les personnes affectées en millions.

À quoi pouvons-nous nous attendre?

Mis à part le problème évident que vos antécédents médicaux tombent entre des mains inconnues, un autre spectre se profile. Les progrès récents dans le matériel médical sont tout simplement miraculeux, mais ils apportent une différence significative à leurs précurseurs: leur statut de réseau. De nombreux appareils sont désormais connectés au réseau de l'hôpital, ce qui permet aux pirates d'accéder directement à certains appareils.

Dans un rapport vraiment surprenant intitulé «Prédictions 2016: la cybersécurité passe à la prévention"Nous voyons la prédiction que 2016 verra le début de équipement médical affecté par un rançongiciel La cybercriminalité se déconnecte: le rôle des bitcoins dans la rançon et l'extorsion Lire la suite .

Le risque provient d'un manque de connaissances de base concernant la sécurité du réseau. En 2012, Scott Erven, alors responsable de la sécurité de l'information pour Essentia Health (aujourd'hui directeur associé à Protoviti) a été chargé d'évaluer la sécurité d'une grande chaîne de soins de santé dans le Midwest installations. Parmi la liste des problèmes soulevées, il était clair que les établissements médicaux utilisaient toujours des mots de passe réseau codés en dur tels que «admin» ou «1234», corroborant les rapports antérieurs et ICS-ALERT-13-164-01, où les chercheurs Billy Rios et Terry McCorkle de Cylance ont signalé qu'environ 300 appareils médicaux utilisaient toujours des mots de passe codés en dur.

Ces étapes d'authentification de base créent d'énormes problèmes de sécurité qui pourraient être facilement évités, ou du moins rendre la tâche plus difficile pour les attaquants Voici comment ils vous piratent: le monde trouble des kits d'exploitationLes fraudeurs peuvent utiliser des suites logicielles pour exploiter les vulnérabilités et créer des logiciels malveillants. Mais quels sont ces kits d'exploit? D'où viennent-ils? Et comment les arrêter? Lire la suite . Au mieux, nous verrons une augmentation de l'extorsion financière.

Au pire, les gens meurent.

MEDJACK

TrapX, une firme de cybersécurité basée sur la tromperie, a identifié une large vague d'attaques contre des installations médicales, ciblant principalement les dispositifs médicaux des hôpitaux. Dans trois hôpitaux distincts, TrapX a constaté «un compromis considérable entre une variété de dispositifs médicaux inclus équipement de radiographie, archives d'images et systèmes de communication (PACS) et analyseurs de gaz sanguins (BGA). "

Cependant, ce n'est pas la limite du vecteur d'attaque MEDJACK. TrapX croit (inscription requise):

«Il existe de nombreux autres appareils qui présentent des cibles pour MEDJACK. Cela comprend les équipements de diagnostic (scanners TEP, scanners CT, appareils d'IRM, etc.), les équipements thérapeutiques (pompes à perfusion, lasers médicaux et LASIK chirurgical et appareils de maintien de la vie (machines cœur-poumon, ventilateurs médicaux, machines d'oxygénation à membrane extracorporelle et machines de dialyse) et bien d'autres plus."

Le rapport poursuit en expliquant que bon nombre des dispositifs médicaux exploités sont des dispositifs à système fermé, fonctionnant systèmes d'exploitation obsolètes 7 façons dont Windows 10 est plus sécurisé que Windows XPMême si vous n'aimez pas Windows 10, vous devriez vraiment avoir migré de Windows XP maintenant. Nous vous montrons comment le système d'exploitation âgé de 13 ans est désormais criblé de problèmes de sécurité. Lire la suite tels que Windows 2000 ou Windows XP. Les systèmes d'exploitation sont souvent modifiés, et plein de trous de sécurité Chaque version de Windows est affectée par cette vulnérabilité - ce que vous pouvez faire à ce sujet.Que diriez-vous si nous vous disions que votre version de Windows est affectée par une vulnérabilité qui remonte à 1997? Malheureusement, c'est vrai. Microsoft ne l'a tout simplement jamais corrigé. À ton tour! Lire la suite , présentant une vulnérabilité massive dans le réseau de tout hôpital. Dans la plupart des cas, le personnel médical utilisant et déployant ces appareils n'a pas accès aux rouages ​​internes, ce qui signifie qu'ils dépendent entièrement des fabricants pour installer des appareils à jour et des murs de sécurité résistants - et cela ne se fait pas actuellement.

Il n'est pas non plus limité à quelques hôpitaux. Avec une variété de fabricants fournissant des gammes massives d'équipements aux installations médicales à travers le monde, il est difficile de déterminer exactement où la prochaine vulnérabilité sera exposée.

Par exemple, lorsque la FDA a publié une recommandation pour les fabricants de renforcer la sécurité des équipements médicaux, le Department of Homeland Security (DHS) a révélé son enquête en cours sur 24 cas de failles de cybersécurité présumées, y compris «une pompe à perfusion d'Hospira Inc. et dispositifs cardiaques implantables de Medtronic Inc. et St Jude Medical Inc. »

L'enquête DHS se poursuit.

Ventes de dossiers médicaux

Bien qu'ils ne mettent pas la vie en danger comme un appareil médical détourné, les dossiers médicaux privés sont de plus en plus vendus aux sociétés d'exploration de données, parfois avec des codes postaux pour rendre les données plus utiles, et donc plus de valeur.

Cependant, une fois que les données ont quitté l'établissement médical, cela augmente les chances que vos informations tombent entre des mains néfastes. Dès août 2013, jusqu'à 11 agences de santé avait commencé ou avait déjà des examens des politiques de collecte de données en cours, y compris comment se déroule le processus de vente de données et quelles responsabilités devraient être sociétés d'exploration de données Que sait vraiment Google à votre sujet?Google n'est pas un champion de la confidentialité des utilisateurs, mais vous pourriez être surpris de voir à quel point ils en savent. Lire la suite .

Marc Probst, directeur de l'information chez Intermountain Healthcare, Salt Lake City, déclare: «La seule raison d'acheter ces données sont pour qu'ils puissent facturer frauduleusement »les dossiers médicaux respectifs dans l'espoir que quelqu'un panique et paie. Cette utilisation frauduleuse des dossiers médicaux (ainsi que les dossiers médicaux volés en premier lieu, la sécurité laxiste trouvée dans d'innombrables installations et les efforts continus pour fournir une meilleure cybersécurité globale à l'ensemble du secteur de la santé) est l'un des nombreux coûts directement remis aux citoyens américains par le biais de leurs soins de santé prime.

Pouvez-vous l'arrêter?

Malheureusement, dans le cas des dossiers médicaux numérisés détenus directement par un fournisseur de soins de santé - nous ne pouvons pas faire grand-chose à ce sujet.

Votre fournisseur conserve vos données et même si vous en demandez une copie (qui peut être relativement coûteuse), il est très peu probable que votre fournisseur supprime vos enregistrements sur un coup de tête. Qui sait quand vous pourriez être précipité aux urgences, seulement pour découvrir qu'ils n'ont aucune information médicale concernant votre allergie à la pénicilline.

Une mesure proactive consiste à mettre en place un système d’alerte DataLossDB.org, un site Web fourre-tout détaillant autant de violations de données que possible. Une autre stratégie d'atténuation pourrait inclure la surveillance de votre rapport de crédit - mais cela entraîne généralement des frais mensuels. Néanmoins, vous seriez certainement remarquez si votre note a fait un plongeon 6 signes d'avertissement de vol d'identité numérique que vous ne devriez pas ignorerLe vol d'identité n'est pas trop rare de nos jours, mais nous tombons souvent dans le piège de penser qu'il arrivera toujours à «quelqu'un d'autre». N'ignorez pas les panneaux d'avertissement. Lire la suite , et pourrait l'attraper avant qu'il ne devienne irrémédiable. Si vous remarquez quelque chose de particulièrement néfaste et que vous l'attrapez à temps, vous pouvez émettre une alerte à la fraude, bloquant toute nouvelle demande de crédit ou compte ouvert en votre nom pendant 90 jours.

Il est difficile d'être aussi proactif avec la sécurité des dossiers médicaux que avec vos coordonnées bancaires, mais cela ne signifie pas que vous devez vous asseoir et attendre.

Vous vous inquiétez de la fraude en matière de santé? Vous avez volé votre dossier médical? Ou quelles pratiques de sécurité avez-vous mises en place? Faites-le nous savoir ci-dessous!

Crédits image: tenant un stéthoscope par nimon via Shutterstock, Dossier médical via Pixabay, Tenir le cœur via Pixabay, Main gantée via Freerange Stock