Internet des objets (médicaux) Dangers, risques et problèmes de sécurité
Vous avez peut-être entendu la phrase “votre santé est votre richesse.” C'est l'une des raisons pour lesquelles les États-Unis ont dépensé plus de 3 200 milliards de dollars en soins de santé en 2015 seulement.
Avec tant d'argent en circulation, il est naturel que de nombreuses entreprises se soient lancées sur le marché de la santé, y compris les entreprises de technologie..
La technologie médicale semble parfois dépassée, mais les entreprises ont l’intention de faire glisser ces dispositifs dans le XXIe siècle. Et bien que la connectivité Internet puisse sembler une fonctionnalité intéressante, il existe de réels dangers et problèmes qui pourraient vous surprendre..
Que sont les dispositifs médicaux??
L’Organisation mondiale de la santé (OMS) définit un dispositif médical comme “tout instrument, appareil, instrument, machine, appareil, implant, réactif à usage in vitro, logiciel, matériel […] destiné par le fabricant à être utilisé […] pour l'homme, pour un ou plusieurs […] usages médicaux spécifiques”.
Bien que cela semble assez compliqué, cela signifie simplement tout appareil ou logiciel pouvant être utilisé à des fins médicales.
La Food and Drug Administration (FDA) des États-Unis est responsable de la surveillance réglementaire des dispositifs médicaux et les divise en trois catégories: classe I, classe II et classe III. Les dispositifs de classe 1 sont légèrement régulés, la plupart des contrôles étant placés uniquement sur la manière dont ils sont fabriqués et commercialisés. La classe II ajoute une réglementation plus spécifique, et la classe III est réservée aux dispositifs qui soutiennent ou maintiennent la vie humaine.
Cependant, comme il est typique dans le monde entier, la FDA a eu du mal à suivre le rythme de l'innovation. Il y a peu de références à la manière dont les appareils modernes connectés à Internet devraient être réglementés.
Quelles mesures les fabricants devraient-ils mettre en place pour assurer la sécurité de tels dispositifs? En décembre 2016, la FDA a publié des directives sur la sécurité des dispositifs médicaux, mais elles ne sont pas juridiquement contraignantes. Cela laissait aux fabricants le choix de suivre ou non les conseils..
Internet des objets (médicaux)
Cela place les dispositifs médicaux connectés à Internet dans le même bateau que ceux de la catégorie plus large de l'Internet des objets (IoT). Les dispositifs médicaux IoT présentent de nombreux avantages. 5 façons dont l'Internet des objets révolutionne les soins de santé 5 façons dont l'Internet des objets révolutionne les soins de santé Voici quelques-unes des méthodes les plus cool (et les plus importantes) par lesquelles la technologie connectée révolutionne le monde médical. En savoir plus, mais l'absence de réglementation contraignante empêche les fabricants de consacrer beaucoup de ressources à leur sécurisation.
C’est l’une des nombreuses raisons pour lesquelles l’Internet des objets est un cauchemar de sécurité. Pourquoi l’Internet des objets est-il le plus grand cauchemar de la sécurité? Pourquoi l’Internet des objets est-il le plus grand cauchemar de la sécurité? Un jour, vous rentrez du travail pour découvrir que votre système de sécurité à domicile activé a été violé. Comment cela pourrait-il arriver? Avec l'Internet des objets (IoT), vous pouvez le découvrir à la dure. Lire la suite . De plus, nous plaçons littéralement notre vie entre les mains de dispositifs médicaux IoT. En tant que tel, les enjeux sont encore plus importants qu'avec les appareils IoT classiques.
Les soins de santé sont une activité coûteuse, non seulement pour les patients, mais pour les prestataires eux-mêmes. Les entreprises facturent d’énormes sommes d’argent pour les nouveaux appareils et le support technique. Cela signifie que les hôpitaux et les autres cabinets médicaux sont un fouillis d’outils, qu’ils soient nouveaux ou anciens, et qu’ils répondent à diverses exigences opérationnelles. L'ancien matériel, les logiciels hérités et les interfaces propriétaires s'unissent pour faire de la sécurisation appropriée du système un cauchemar pour le service informatique du fournisseur..
Exemple: écoute sur une pompe médicale
L'interface entre le logiciel et le matériel présente souvent des vulnérabilités exploitables, comme Saurabh Harit l'a montré lors de Black Hat Europe 2017. Il a obtenu une pompe à perfusion IV, qui injecte des médicaments dans le sang d'un patient, qui peuvent être programmés et utilisés à distance..
Après avoir accédé au mode administrateur de la pompe avec un mot de passe par défaut trouvé en ligne, il a pu utiliser l'infrarouge de l'unité et un ancien assistant numérique personnel acheté à eBay pour importer leurs informations d'identification Wi-Fi dans les paramètres réseau de la pompe..
Utilisation de Wireshark (l’un des nombreux outils de sécurité réseau open source. Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuits. Comment tester votre sécurité de réseau domestique avec des outils de piratage gratuits. Aucun système ne peut être entièrement "preuve de piratage", mais des tests de sécurité du navigateur et des protections réseau Utilisez ces outils gratuits pour identifier les "points faibles" de votre réseau domestique. Pour en savoir plus, inspectez les paquets, Harit a visualisé les données des patients telles que la dose de médicament, le fournisseur de soins, le nom, l'emplacement et l'itinéraire. Étonnamment, il a même pu accéder à la Master Drugs List qui définit et maintient le dosage prescrit..
La liste des exemples continue…
Si ces vulnérabilités étaient limitées à cette pompe, ce serait suffisamment choquant, mais les chercheurs en découvrent régulièrement de nouvelles. Une équipe a pu accéder à un scanner, un appareil qui vous donne une petite dose de rayonnement pour créer des modèles 3D de l'intérieur de votre corps..
En août 2017, la FDA a rappelé 465 000 stimulateurs cardiaques fabriqués par Abbott pour des raisons de piratage. Au lieu de forcer près d’un demi-million de personnes à subir une intervention chirurgicale invasive, Abbott a publié un correctif de microprogramme que le personnel médical a pu appliquer au stimulateur cardiaque..
En 2014, le Department for Homeland Security (DHS) avait commencé à enquêter sur 24 dispositifs présentant des défauts critiques présumés. Les dispositifs comprenaient une pompe à perfusion de Hospira Inc et des dispositifs cardiaques implantables de Medtronic et St Jude Medical.
Dispositifs médicaux hérités et mauvaise sécurité
Si vous avez déjà travaillé dans un bureau, vous saurez que de nombreuses entreprises utilisent des logiciels hérités. Cela nécessite invariablement des systèmes d'exploitation, des pilotes et des périphériques plus anciens, ce qui les rend très instables. Le coût est généralement un facteur déterminant dans la mise à jour, et nombreux sont ceux qui décident de ne pas justifier la dépense. Si ce n'est pas cassé, ne le répare pas, non?
Les entreprises ont souvent du mal à donner la priorité à la cybersécurité, avec la conviction que si une attaque n'a pas encore eu lieu, elle ne le sera pas. Malheureusement, les prestataires de soins de santé ne sont pas non plus à l'abri de cette tendance. En mai 2017, une attaque par ransomware, baptisée WannaCry, l'attaque mondiale contre ransomware et la protection de vos données, l'attaque globale contre le ransomware et la protection de vos données Une cyberattaque massive a frappé des ordinateurs du monde entier. Avez-vous été affecté par le ransomware à réplication automatique très virulent? Si non, comment pouvez-vous protéger vos données sans payer la rançon? En savoir plus, 300 000 ordinateurs ont été infectés presque simultanément, dont de nombreux membres du National Health Service (NHS) du Royaume-Uni.
Le logiciel de ransomware a touché plus de 40 trusts du NHS dans tout le pays, réduisant les soins aux patients, mettant fin aux chirurgies et même aux hôpitaux. Les effets de l'attaque ont mis les patients en danger et ont potentiellement porté atteinte à la sécurité de leurs données. Malheureusement, Microsoft a publié un correctif un mois avant l’attaque, ce qui aurait empêché WannaCry de s’implanter. Non seulement la mise à jour n'a pas été lancée, mais il s'est avéré que de nombreux ordinateurs fonctionnaient toujours sous Windows XP..
Ceci malgré le support étendu pour le système d'exploitation vieux de 15 ans, qui avait pris fin deux ans avant l'attaque..
L'avenir des dispositifs médicaux me fait paniquer
La technologie continue de fournir des avancées significatives en matière de traitement médical 8 Percées technologiques médicales dont vous pourriez avoir besoin en un jour 8 Percées technologiques médicales dont vous pourriez avoir besoin en un jour Croyez-le ou non, la vitesse des avancées technologiques continue d'augmenter - et de nombreuses avancées sont en cours passe dans le domaine médical. Découvrez ces nouvelles choses étonnantes! En savoir plus, mais ce n'est pas la grâce du secteur médical, comme l'a découvert le NHS britannique. Selon le secrétaire d'Etat à la Santé, Jeremy Hunt, jusqu'à 270 femmes pourraient être décédées après une “erreur d'algorithme informatique” pas réussi à inviter 450 000 femmes à un dépistage régulier du cancer du sein.
Contrairement à de nombreux autres domaines affectés par les progrès de la technologie, les dispositifs médicaux peuvent être une question de vie ou de mort. La loi de Moore permettant la mise en ligne de davantage d'appareils dans les années à venir, les fabricants doivent donner la priorité à la sécurité. Après tout, il n’est pas bon de concevoir un “caractéristique tueur” si cela s'avère être une description extrêmement précise.
En savoir plus sur: Santé, Internet des objets.