L'Internet des objets (médicaux): dangers, risques et problèmes de sécurité

Publicité

Vous avez peut-être entendu l'expression « votre santé est votre richesse ». C'est l'une des raisons pour lesquelles les États-Unis ont dépensé plus de 3,2 billions de dollars en soins de santé rien qu'en 2015.

Avec autant d'argent qui circule, il est tout à fait naturel que de nombreuses entreprises aient pénétré le marché de la santé, y compris des entreprises technologiques.

La technologie médicale semble parfois dépassée, mais les entreprises ont l'intention de faire entrer ces appareils dans le 21e siècle. Et bien que la connectivité Internet puisse sembler être une fonctionnalité intéressante, il existe de réels dangers et problèmes qui pourraient vous surprendre.

Que sont les dispositifs médicaux ?

L'Organisation mondiale de la santé (OMS) définit un dispositif médical comme « tout instrument, appareil, instrument, machine, appareil, implant, réactif pour utilisation in vitro, logiciel, matériel […] destiné par le fabricant à être utilisé […] pour l'être humain, pour un ou plusieurs […] but".

Bien que cela semble assez compliqué, cela signifie simplement tout appareil ou logiciel pouvant être utilisé à des fins médicales.

La Food & Drug Administration (FDA) des États-Unis est responsable de la surveillance réglementaire des dispositifs médicaux et les divise en trois catégories: Classe I, Classe II et Classe III. Les appareils de classe 1 sont légèrement réglementés, la plupart des contrôles ne portant que sur la façon dont ils sont fabriqués et commercialisés. La classe II ajoute une réglementation plus spécifique et la classe III est réservée aux appareils qui soutiennent ou maintiennent la vie humaine.

Cependant, comme c'est souvent le cas dans le monde, la FDA a eu du mal à suivre le rythme de l'innovation. Il existe peu de références sur la manière dont les appareils modernes connectés à Internet devraient être réglementés.

Quelles mesures les fabricants devraient-ils mettre en place pour assurer la sécurité de ces appareils? En décembre 2016, la FDA a publié des directives sur sécurité des dispositifs médicaux, mais ils ne sont pas juridiquement exécutoires. Cela a laissé les fabricants décider de suivre ou non les conseils.

L'Internet des objets (médicaux)

Cela place les appareils médicaux connectés à Internet dans le même bateau que ceux de la catégorie plus large de l'Internet des objets (IoT). Il y a beaucoup de avantages pour les dispositifs médicaux IoT 5 façons dont l'Internet des objets révolutionne les soins de santéVoici quelques-unes des façons les plus intéressantes (et les plus importantes) par lesquelles la technologie connectée révolutionne le monde médical. Lire la suite , mais l'absence de réglementation exécutoire signifie que les fabricants ne consacreront probablement pas beaucoup de ressources à leur sécurisation.

C'est juste l'un des de nombreuses raisons pour lesquelles l'Internet des objets est un cauchemar en matière de sécurité Pourquoi l'Internet des objets est le plus grand cauchemar de sécuritéUn jour, vous rentrez du travail pour découvrir que votre système de sécurité domestique basé sur le cloud a été violé. Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pourriez le découvrir à la dure. Lire la suite . De plus, nous plaçons littéralement nos vies entre les mains d'appareils IoT médicaux. En tant que tel, les enjeux sont encore plus importants qu'avec les appareils IoT classiques.

La santé est une activité coûteuse, non seulement pour les patients, mais pour les prestataires eux-mêmes. Les entreprises facturent des sommes considérables pour les nouveaux appareils et le support technique. Cela signifie que les hôpitaux et autres cabinets médicaux sont un fouillis d'outils, certains nouveaux, d'autres anciens avec une gamme d'exigences de fonctionnement différentes. L'ancien matériel, les logiciels hérités et les interfaces propriétaires s'unissent pour faire de la sécurisation appropriée du système un cauchemar pour le service informatique du fournisseur.

Exemple: écoute sur une pompe médicale

L'interface entre le logiciel et le matériel expose souvent des vulnérabilités exploitables, comme Saurabh Harit a participé au Black Hat Europe 2017. Il a obtenu une pompe à perfusion IV, qui injecte des médicaments dans le sang d'un patient, qui pourrait être programmée et actionnée à distance.

Après avoir accédé au mode administrateur de la pompe avec un mot de passe par défaut trouvé en ligne, il a pu utiliser le infrarouge et un ancien PDA acheté sur eBay pour importer leurs informations d'identification Wi-Fi sur le réseau de la pompe Les paramètres.

Utilisation de Wireshark (l'un des nombreux outils de sécurité réseau open source Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuitsAucun système ne peut être entièrement « à l'épreuve du piratage », mais les tests de sécurité du navigateur et les sauvegardes du réseau peuvent rendre votre configuration plus robuste. Utilisez ces outils gratuits pour identifier les « points faibles » de votre réseau domestique. Lire la suite ) pour inspecter les paquets, Harit a consulté les données du patient telles que la dose de médicament, le soignant, le nom, l'emplacement et l'itinéraire. Étonnamment, il a même pu accéder à la liste principale des médicaments qui définit et maintient le dosage prescrit.

La liste des exemples continue…

Si de telles vulnérabilités se limitaient à cette seule pompe, ce serait assez choquant, mais les chercheurs en découvrent régulièrement de nouvelles. Une équipe a pu accéder à un scanner, un appareil qui vous donne une petite dose de rayonnement pour créer des modèles 3D de l'intérieur de votre corps.

En août 2017, le La FDA a rappelé 465 000 stimulateurs cardiaques faite par Abbott sur des problèmes de piratage. Au lieu de forcer près d'un demi-million de personnes à subir une intervention chirurgicale invasive, Abbott a publié un correctif du micrologiciel, que le personnel médical a pu appliquer au stimulateur cardiaque.

En 2014, le Department for Homeland Security (DHS) a commencé enquête sur 24 appareils pour des défauts critiques présumés. Les dispositifs comprenaient une pompe à perfusion de Hospira Inc et des dispositifs cardiaques implantables de Medtronic et St Jude Medical.

Dispositifs médicaux hérités et faible sécurité

Si vous avez déjà travaillé dans un bureau, vous savez que de nombreuses entreprises s'appuient sur des logiciels hérités. Cela nécessite invariablement des systèmes d'exploitation, des pilotes et des périphériques plus anciens, ce qui les rend très peu sûrs. Le coût est généralement un facteur décisif pour la mise à jour, et beaucoup décident qu'ils ne peuvent pas justifier la dépense. Si ce n'est pas cassé, ne le répare pas, n'est-ce pas ?

Les entreprises ont souvent du mal à donner la priorité à la cybersécurité, avec une attitude dominante selon laquelle si une attaque n'a pas encore eu lieu, elle ne le sera pas. Malheureusement, les fournisseurs de soins de santé ne sont pas non plus à l'abri de cette ligne de pensée. En mai 2017, une attaque de ransomware, surnommé WannaCry L'attaque mondiale des ransomwares et comment protéger vos donnéesUne cyberattaque massive a frappé des ordinateurs dans le monde entier. Avez-vous été affecté par le ransomware à réplication automatique très virulent? Sinon, comment pouvez-vous protéger vos données sans payer la rançon ? Lire la suite , ont infecté presque simultanément 300 000 ordinateurs, dont beaucoup appartiennent au National Health Service (NHS) du Royaume-Uni.

Le ransomware a affecté plus de 40 NHS Trusts à travers le pays, réduisant les soins aux patients, fermant des chirurgies et même des hôpitaux. Les effets de l'attaque ont mis les patients en danger et ont également potentiellement compromis la sécurité de leurs données. Malheureusement, Microsoft a publié un correctif un mois avant l'attaque, ce qui aurait empêché WannaCry de s'implanter. Non seulement la mise à jour n'a pas été déployée, mais il s'est avéré que de nombreux ordinateurs exécutaient toujours Windows XP.

C'est malgré la fin du support étendu du système d'exploitation vieux de 15 ans deux ans avant l'attentat.

L'avenir des dispositifs médicaux me fait flipper

La technologie continue de apporter des avancées significatives dans le traitement médical 8 avancées technologiques médicales dont vous pourriez avoir besoin un jourCroyez-le ou non, la vitesse des progrès technologiques continue d'augmenter - et de nombreuses percées se produisent dans le domaine médical. Découvrez ces nouvelles choses incroyables! Lire la suite , mais ce n'est pas la grâce salvatrice du secteur médical comme l'a découvert le NHS britannique. Selon le secrétaire à la Santé du gouvernement, Jeremy Hunt, jusqu'à 270 femmes peuvent être décédées après qu'une "erreur d'algorithme informatique" n'ait pas réussi à inviter 450 000 femmes à un dépistage régulier du cancer du sein.

Contrairement à de nombreux autres domaines touchés par les progrès technologiques, les dispositifs médicaux peuvent être une question de vie ou de mort. Comme la loi de Moore permet à davantage d'appareils d'être mis en ligne dans les années à venir, les fabricants doivent donner la priorité à la sécurité. Après tout, il ne sert à rien de concevoir une « fonctionnalité qui tue » si cela s'avère être une description d'une précision dévastatrice.