Healthcare Le nouveau vecteur d'attaque pour les fraudeurs et les voleurs d'identité
Nous sommes tous de plus en plus avertis du vol d'identité en ligne.
Il ne se passe pas beaucoup de jours sans entendre parler d’une entreprise majeure victime d’une certaine forme de violation de données; nous n'entendons pas toujours parler de la gravité, sauf si elle implique des quantités importantes de données client. De même, nous traitons nos dossiers de santé avec la même confidentialité. Ils contiennent des informations personnelles sensibles qui pourraient être utilisées contre nous entre de mauvaises mains.
Nous connaissons et comprenons depuis longtemps la nécessité de préserver la confidentialité des dossiers médicaux. Heureusement, nos médecins et nos infirmières ont juré de préserver cette confidentialité. Dans le monde jadis fondé sur le papier, l'accès non autorisé aux dossiers médicaux se ferait par un tour de passe-passe ou un travail interne..
Mais maintenant, l’industrie médicale mondiale est maintenant numérisée, de même que nos dossiers. Avoir un dossier médical numérisé présente des avantages considérables, mais cela vaut la peine de mettre vos données personnelles à la ligne de mire?
Vol d'identité médicale
5 raisons pour lesquelles le vol d'identité est en hausse 5 raisons pour lesquelles le vol d'identité est en augmentation Les fraudeurs veulent vos informations personnelles et vos informations bancaires, mais saviez-vous que vos dossiers médicaux présentent également un intérêt pour leur? Découvrez ce que vous pouvez faire à ce sujet. Lire la suite . Les fraudeurs qui recherchent traditionnellement des informations bancaires et des informations sur leurs comptes en ligne 3 Conseils pour la prévention de la fraude en ligne en 2014 3 Conseils pour la prévention de la fraude en ligne en 2014 Read More se tournent de plus en plus vers les dossiers médicaux. Pourquoi? Tout d’abord, ils regorgent des informations les plus personnelles sur quelque chose qui nous tient à cœur: notre vie.
Votre dossier médical tient tout de vos informations personnelles: nom, adresse, date de naissance, numéro de sécurité sociale (ou équivalent), et dans certains cas, il contiendra des informations de facturation, ainsi que les détails de carte de crédit ou de débit. Cela rend évidemment un dossier médical très précieux - plus précieux que votre compte bancaire. Voici ce que votre identité pourrait valoir sur le Web sombre. Voici comment votre identité pourrait valoir sur le Web sombre. Il est inconfortable de se considérer comme une marchandise, mais Toutes vos données personnelles, du nom et de l'adresse aux coordonnées du compte bancaire, valent quelque chose pour les criminels en ligne. Combien valez-vous? Lire plus de détails (enfin, selon le nombre de zéros dans votre compte!).
La facilité avec laquelle les pirates informatiques accèdent aux dossiers médicaux en fait une cible encore plus attrayante. Malgré des années de connaissance préalable voulant que les dossiers médicaux soient numérisés à un moment donné, de nombreux établissements médicaux ne sont en aucune manière équipés pour faire face à la menace omnisciente de la cybercriminalité. Il n’est donc pas surprenant que le pourcentage d’organisations de soins de santé américaines signalant des attaques potentielles est passé de 20% en 2009 à 40% en 2013. Rien qu’en 2015, 108,8 millions d’enregistrements individuels violés ont été officiellement déclarés. FCC préserve la neutralité du Net, les pirates informatiques Attaque santé assureur [Tech News Digest] La FCC préserve la neutralité du réseau, hackers Attaque santé assureur [Tech News Digest] Règles de la neutralité du Net, Anthem souffre d'un revers de santé, BT achète EE, tweets sur Google, Netflix atterrit au Japon et le plus grand Super Bowl les publicités sont refaites en LEGO. Lisez plus sur cinq organisations de soins de santé distinctes; chaque organisation a signalé que son serveur de réseau avait été victime d'une violation:
N.B: Le tableau ci-dessus présente les personnes concernées en millions.
Que pourrions-nous attendre?
Mis à part le problème évident de vos antécédents médicaux qui tombent entre des mains inconnues, un autre spectre se profile. Les progrès récents en matière de matériel médical ne sont rien de moins que des miracles, mais ils présentent une différence importante par rapport à leurs précurseurs: leur statut en réseau. De nombreux appareils sont maintenant connectés au réseau de l'hôpital, ce qui permet aux pirates d'accéder directement à certains appareils..
Dans un rapport vraiment surprenant intitulé 'Prédictions 2016: la cybersécurité passe à la prévention'nous voyons la prédiction que 2016 verra le début des équipements médicaux affectés par les ransomwares. Cybercriminalité se déconnecte: le rôle des Bitcoins dans la rançon et l'extorsion La cybercriminalité se déconnecte: le rôle des Bitcoins dans les rançons et l'extorsion Read More .
Le risque provient d'un manque fondamental de connaissances sur la sécurité du réseau. En 2012, Scott Erven, alors responsable de la sécurité de l'information chez Essentia Health (maintenant directeur associé chez Protoviti), avait pour tâche d'évaluer la sécurité d'une grande chaîne d'établissements de soins de santé du Midwest. Parmi la liste des questions soulevées, il était clair que les établissements médicaux utilisaient encore des mots de passe réseau codés en dur, tels que “admin” ou “1234,” corroborant des rapports antérieurs et ICS-ALERT-13-164-01, dans lesquels les chercheurs Billy Rios et Terry McCorkle de Cylance ont signalé qu'environ 300 dispositifs médicaux utilisaient encore des mots de passe codés en dur.
Ces étapes d’authentification de base créent d’énormes problèmes de sécurité qui pourraient facilement être évités, ou du moins rendre la tâche plus ardue aux attaquants. Voici comment ils vous piratent: le monde obscur des kits d’exploitation Voici comment ils vous piratent: le monde obscur de Kits d'exploitation Les fraudeurs peuvent utiliser des suites logicielles pour exploiter les vulnérabilités et créer des logiciels malveillants. Mais quels sont ces kits d'exploits? D'où viennent-ils? Et comment peuvent-ils être arrêtés? Lire la suite . Au mieux, nous assisterons à une augmentation des extorsions financières.
Au pire, les gens meurent.
MEDJACK
TrapX, une entreprise de cybersécurité basée sur la déception, a identifié une large vague d'attaques visant des installations médicales, visant principalement les dispositifs médicaux des hôpitaux. TrapX a découvert dans trois hôpitaux distincts “Compromis étendu d'une variété de dispositifs médicaux comprenant des équipements à rayons X, des systèmes d'archivage d'images et de communication (PACS) et des analyseurs de gaz sanguins (BGA).”
Cependant, ce n'est pas la limite du vecteur d'attaque MEDJACK. TrapX croisent (inscription requise):
“il existe de nombreux autres périphériques qui présentent des cibles pour MEDJACK. Ceci inclut les équipements de diagnostic (scanners TEP, scanners, appareils IRM, etc.), les équipements thérapeutiques (pompes à perfusion, lasers médicaux et machines chirurgicales LASIK) et les équipements de maintien de la vie (machines cœur-poumon, ventilateurs médicaux, appareils d’oxygénation à membrane extracorporelle). appareils de dialyse) et bien plus encore.”
Le rapport poursuit en expliquant que la plupart des dispositifs médicaux exploités sont des dispositifs système fermés, exécutant des systèmes d’exploitation obsolètes. 7 façons dont Windows 10 est plus sécurisé que Windows XP 7 façons dont Windows 10 est plus sécurisé que Windows XP pas comme Windows 10, vous devriez vraiment avoir migré de Windows XP maintenant. Nous vous montrons comment le système d’exploitation, vieux de 13 ans, est maintenant confronté à des problèmes de sécurité. Lisez plus, comme Windows 2000 ou Windows XP. Les systèmes d'exploitation sont souvent modifiés et remplis de failles de sécurité Chaque version de Windows est affectée par cette vulnérabilité - Que pouvez-vous faire? Chaque version de Windows est affectée par cette vulnérabilité - Que pouvez-vous faire à ce sujet? Que diriez-vous si nous vous disions que votre version de Windows est affectée par une vulnérabilité remontant à 1997? Malheureusement, c'est vrai. Microsoft ne l'a tout simplement jamais corrigé. À ton tour! Lire la suite, présentant une vulnérabilité énorme dans le réseau de n'importe quel hôpital. Dans la plupart des cas, le personnel médical utilisant et déployant ces dispositifs n’a pas accès au fonctionnement interne, ce qui signifie qu’il dépend totalement des fabricants pour une installation à jour. et murs de sécurité résilients - et cela ne se produit pas actuellement.
Cela ne se limite pas à quelques hôpitaux non plus. Étant donné que de nombreux fabricants fournissent d’énormes gammes d’équipements aux établissements médicaux du monde entier, il est difficile de déterminer avec exactitude l’endroit où la prochaine vulnérabilité sera exposée..
Par exemple, lorsque la FDA a publié une recommandation aux fabricants visant à renforcer la sécurité des équipements médicaux, le département de la Sécurité intérieure (DHS) a révélé la poursuite de l'enquête en cours sur 24 cas présumés de faille de cybersécurité, notamment: “une pompe à perfusion de Hospira Inc. et des dispositifs cardiaques implantables de Medtronic Inc. et de St Jude Medical Inc.”
L'enquête DHS se poursuit.
Ventes de dossiers médicaux
Même s’ils ne sont pas aussi dangereux que le matériel médical détourné, les dossiers médicaux privés sont de plus en plus vendus à des sociétés d’exploitation de données, parfois accompagnés de codes postaux pour rendre les données plus utiles et donc plus utiles..
Cependant, une fois que les données ont quitté le centre médical, cela augmente les chances que vos informations tombent entre de mauvaises mains. Dès août 2013, pas moins de 11 agences de santé avaient commencé ou avaient déjà procédé à un examen de la politique de collecte des données, notamment sur le déroulement du processus de vente des données et les responsabilités à assumer pour les sociétés d'extraction de données. Que sait vraiment Google? Vous? Que sait vraiment Google à votre sujet? Google n'est pas un défenseur de la confidentialité des utilisateurs, mais vous serez peut-être surpris de constater à quel point ils en savent. Lire la suite .
Marc Probst, directeur de l'information chez Intermountain Healthcare, Salt Lake City, déclare “La seule raison d'acheter ces données est qu'ils puissent facturer frauduleusement” les dossiers médicaux respectifs dans l'espoir que quelqu'un panique et paie. Cette utilisation frauduleuse des dossiers médicaux (en plus du pillage des dossiers médicaux, du manque de sécurité dans d'innombrables installations et des efforts continus pour améliorer la cybersécurité globale du secteur de la santé) est l'un des nombreux coûts supportés directement par Citoyens américains à travers leur prime de soins de santé.
Pouvez-vous l'arrêter?
Malheureusement, dans le cas de dossiers médicaux numérisés tenus directement par un fournisseur de soins de santé, nous ne pouvons pas faire grand chose à ce sujet..
Votre fournisseur détient vos données et, même si vous demandez une copie (ce qui peut être relativement coûteux), il est fort peu probable que votre fournisseur supprime vos enregistrements à tout moment. Qui sait quand vous pourriez être précipité aux urgences, seulement pour constater qu'il ne possède aucune information médicale concernant votre allergie à la pénicilline.
Une mesure proactive consiste à mettre en place un système d'alerte avec DataLossDB.org, un site Web fourre-tout détaillant le plus de violations de données possible. Une autre stratégie d'atténuation peut inclure la surveillance de votre dossier de crédit - mais cela entraîne généralement des frais mensuels. Néanmoins, vous remarquerez certainement que si votre cote de popularité a baissé de 6 points d'alerte du vol d'identité numérique, vous ne devriez pas ignorer les 6 signes d'alerte du vol d'identité numérique que vous ne devriez pas ignorer Pourtant, nous tombons souvent dans le piège de penser que cela arrivera toujours à "quelqu'un d'autre". Ne pas ignorer les signes avant-coureurs. Lire la suite, et pourrait l'attraper avant qu'il ne devienne irrécupérable. Si vous remarquez quelque chose de particulièrement néfaste et que vous le détectez à temps, vous pouvez émettre une alerte à la fraude bloquant toute nouvelle demande de crédit ou tout compte ouvert en votre nom pendant 90 jours..
Il est difficile d’être aussi proactif en ce qui concerne la sécurité des dossiers médicaux que vos coordonnées bancaires, mais cela ne signifie pas que vous deviez attendre..
Inquiet de la fraude en matière de santé? Avez-vous volé vos dossiers médicaux? Ou quelles pratiques de sécurité avez-vous en place? Faites-nous savoir ci-dessous!
Crédits image: tenir un stéthoscope de nimon via Shutterstock, dossier médical via Pixabay, cœur tenant via Pixabay, main gantée via Freerange Stock
En savoir plus sur: la santé, le vol d'identité, la confidentialité en ligne.