Les attaquants exercent une pression considérable sur le secteur de la santé en ce moment, dominant le cycle des nouvelles et plaçant les ransomwares et autres cyberattaques en tête des préoccupations. Le secteur de la santé constitue une cible attrayante pour les cybercriminels, avec une moyenne de 1 463 attaques par semaine (soit une augmentation de 74 % par rapport à 2021). Au cours des douze dernières années, le coût d'une violation dans le secteur de la santé a été plus élevé que dans tout autre secteur, atteignant 10,1 millions de dollars en 2022. Et comme de plus en plus de systèmes de santé adoptent des technologies numériques et connectées, ces attaques vont encore augmenter.
Pourquoi frapper les systèmes de santé ?
Il y a plusieurs raisons pour lesquelles les attaquants se concentrent sur les soins de santé. La première, bien sûr, est que lorsque des vies humaines sont en danger, les organisations visées sont plus susceptibles de payer la rançon afin de pouvoir reprendre leurs activités normales - qui consistent en fait à fournir des soins d'urgence, à accoucher et à dispenser des soins continus aux patients vulnérables. Le simple fait de perturber les opérations dans ces contextes peut mettre des vies en danger.
En Ontario, un hôpital a été victime d'une perte de services publics, notamment d'électricité, d'eau et de systèmes essentiels ( IT ). Qualifiant cet événement de "code gris", l'hôpital s'est efforcé d'assurer les services hospitaliers essentiels, mais a invité les patients souffrant d'affections moins urgentes à rechercher d'autres options de soins. Même après la fin de la cyberattaque, le système hospitalier devra probablement faire face à des difficultés pour revenir à un fonctionnement normal.
Quelques jours auparavant, une attaque contre un système de santé de Floride a conduit Tallahassee Memorial HealthCare (TMH) à mettre ses systèmes IT hors ligne et à suspendre les procédures non urgentes. Les conséquences sont multiples pour ce système de santé privé à but non lucratif qui propose des hôpitaux de soins aigus, des hôpitaux psychiatriques, 38 cabinets médicaux affiliés et de nombreux centres de soins spécialisés en Floride et en Géorgie.
Selon l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), les opérations de ransomware nord-coréennes extorquaient des fonds et les utilisaient pour soutenir les priorités et les objectifs du gouvernement nord-coréen au niveau national. Ces attaques visent le secteur de la santé publique et d'autres infrastructures critiques. La CISA a indiqué que les pirates utilisaient plusieurs souches de logiciels malveillants de cryptage de fichiers pour attaquer les systèmes de santé sud-coréens et américains, ainsi que des casiers développés par des particuliers.
Selon le Centre de coordination de la cybersécurité du secteur de la santé, un groupe d'hacktivistes appelé KillNet a non seulement financé des opérations gouvernementales au moyen de ransomwares, mais il s'est également attaqué au secteur américain de la santé en lançant des cyberattaques par déni de service distribué (DDoS). Ce groupe cible les pays qui soutiennent l'Ukraine, en les frappant d'attaques par déni de service distribué qui provoquent des interruptions de service pendant des heures ou des jours. Ces interruptions peuvent entraîner des retards dans les rendez-vous, des temps d'arrêt pour les systèmes de DSE essentiels et le détournement des ambulances vers d'autres systèmes de santé. Alors que la guerre en Ukraine s'éternise, le secteur américain de la santé doit redoubler de vigilance dans ses efforts de prévention des cybermenaces.
Comment les attaquants s'introduisent-ils ?
Les systèmes de santé sont des écosystèmes incroyablement complexes IT . Les acquisitions de petits hôpitaux, les applications cloud et SaaS fournies sans la supervision de l'équipe de sécurité, les dispositifs médicaux connectés et des milliers, voire des centaines de milliers d'actifs numériques créent tous une surface d'attaque qui peut être difficile à gérer. En outre, de nombreuses vulnérabilités inconnues existeront toujours et seront exploitées pour des attaques de type "zero-day", ce qui fait de tout système non corrigé un risque incroyablement important.
Avec autant de points d'accès aux informations d'assurance et aux données des patients, les équipes de IT ont du mal à les sécuriser tous. Pour compliquer encore les choses, les médecins, les kinésithérapeutes, les assistants médicaux, les infirmières et les patients eux-mêmes interagissent désormais avec des dizaines de points d'accès, mais ces personnes sont rarement des utilisateurs avertis. Ils peuvent partager leurs mots de passe ou utiliser des mots de passe faciles à deviner, et peu d'entre eux sont susceptibles d'utiliser efficacement des capacités d'authentification multifactorielle. Les informations d'identification compromises et la vérification laxiste de l'identité offrent aux attaquants une voie d'accès aux réseaux, aux applications et aux données du système de santé.
Atténuer le potentiel et l'impact des attaques
Le monde est de plus en plus connecté, et les plans et protocoles de sécurité doivent s'adapter à cette réalité. Les systèmes de santé peuvent se préparer aux attaques en mettant en place des plans d'intervention bien définis et pratiqués en cas d'attaque. La réalisation régulière d'exercices de cybersécurité pour s'assurer que les protocoles sont bien coordonnés et à jour peut aider les équipes de sécurité à se préparer à des attaques apparemment inévitables.
Bien que les budgets et les ressources en personnel puissent être limités, l'investissement dans une technologie de confiance zéro supplémentaire peut réduire considérablement la surface des menaces. Le secteur de la santé s'appuie fortement sur les courriels pour la communication quotidienne et sur les portails d'applications web pour partager et télécharger des fichiers et des données sur les patients. Or, ces deux outils présentent des risques majeurs de ransomware, de vol de données, de problèmes de conformité, etc. Les solutions de courrier électronique et de téléchargement de fichiers de confiance zéro qui exploitent l'assainissement des données, la prévention proactive de la perte de données pour supprimer les données sensibles et le multiscanning avec plusieurs moteurs anti-programmes malveillants contribuent déjà à réduire considérablement le risque de programmes malveillants et d'attaques de type "zero-day".
La mise en œuvre d'un contrôle d'accès de confiance zéro pour ces environnements complexes peut également permettre aux utilisateurs moins sophistiqués de disposer d'un moyen transparent d'effectuer des contrôles de sécurité conformes à la politique de sécurité de l'organisation avant d'accorder l'accès à un système. Grâce à l'accès réseau de confiance zéro, les établissements de santé peuvent sécuriser l'accès au nuage, à distance et sur site, obtenir une visibilité instantanée sur les personnes connectées au réseau, détecter les vulnérabilités et déployer des correctifs automatisés, et appliquer la conformité des terminaux et les mises à jour lorsque cela s'avère nécessaire. La prévention des accès non autorisés aux données de l'entreprise peut également aider les organisations à répondre aux exigences de l'HIPAA en matière de sécurisation et de protection des données sensibles des patients contre les attaquants.
Se remettre d'une attaque
La préparation à une attaque est le moyen le plus important pour une organisation de se remettre rapidement d'une cyber-attaque. Chaque système de santé ayant des besoins et des ressources spécifiques, il est essentiel d'impliquer les dirigeants, les experts en sécurité et IT , les équipes juridiques et les équipes de communication dans la création d'un processus de réponse aux incidents testé et exploitable. La détection précoce des activités suspectes et l'ouverture d'une enquête constituent une première étape importante, de même que l'activation de l'EDR. Qu'il s'agisse d'une équipe de réponse aux incidents externe ou de ressources internes, il est essentiel d'effectuer une analyse technique afin d'identifier la cause de l'incident, de lancer le plan de RI et d'activer les solutions de sauvegarde sur les terminaux. Il est important de contenir les attaquants tout en collectant des données médico-légales pour les enquêtes en cours, ainsi que de notifier les autorités locales, nationales et fédérales chargées de l'application de la loi. Les équipes juridiques, IT, et de communication doivent travailler ensemble pour s'assurer que les réglementations sont respectées et pour limiter l'impact potentiel d'un incident critique sur le plan juridique et sur celui de la réputation.
L'ampleur de l'attaque a une incidence sur le processus de récupération et sur les exigences en matière de notification de la violation. Une fois l'attaque par ransomware ou DDoS éradiquée, les organisations doivent restaurer les données à partir des sauvegardes et combler les lacunes en matière de sécurité. Grâce aux enseignements tirés de l'attaque, les systèmes de santé peuvent adapter leur plan de RI et mettre en place des tactiques et des solutions de sécurité qui faciliteront la détection et permettront de contenir plus rapidement les attaques futures.
Vous voulez savoir comment OPSWAT peut vous aider ?
