Politique

Les systèmes de santé veulent l’aide du gouvernement pour lutter contre les pirates

Lee Milligan, directeur de l’information chez Asante Health System dans l’Oregon, s’est dit encouragé par le fait que le président Joe Biden ait pris des mesures pour aider à protéger la nation contre les cybermenaces, mais souhaite que Washington travaille plus directement avec les systèmes de santé pour assumer le fardeau des attaques. .

“Cela me fait penser qu’en fin de compte, c’est aux systèmes hospitaliers individuels d’essayer – essentiellement de manière isolée – de le comprendre”, a-t-il déclaré. « Si un État-nation a bombardé des ponts qui relient le fleuve Mississippi et relient les États A et B, le regarderions-nous de la même manière ? Et pourtant, le même risque pour la vie se produit lorsqu’ils ferment un système de santé.

L’augmentation incessante des attaques met en péril la sécurité des patients et met à rude épreuve les cliniciens déjà épuisés par la pandémie de Covid-19. Dans le pire des cas, les pirates peuvent arrêter les opérations de l’hôpital et siphonner les données des patients.

Se faire pirater coûte cher : une cyberattaque en 2021 contre le plus grand système de santé de San Diego, Scripps Health, a coûté 112,7 millions de dollars. Ces coûts exercent une pression supplémentaire sur les systèmes de santé pour qu’ils augmentent le prix des services, d’autant plus qu’ils sont confrontés à une marché du travail concurrentiel, pertes liées à la pandémie et hausse des prix des médicaments. Et maintenant, les cyber-assureurs limitent la couverture et augmentent les primes, exposant davantage les systèmes de santé.

Divers efforts fédéraux ont été déployés pour aider les systèmes de santé face aux cyberattaques, par l’intermédiaire du ministère de la Santé et des Services sociaux, du Federal Bureau of Investigations et du Department of Homeland Security. Cependant, tous les systèmes de santé n’ont pas l’impression que ces ressources sont suffisantes.

“Ce que je voulais vraiment, c’était qu’ils mettent en place un véritable cadre spécifique pour un partenariat entre les systèmes de santé individuels et le gouvernement sur la protection ou la réponse ou de préférence les deux”, a déclaré Milligan.

Les coûts

Un médecin reçoit un e-mail lui demandant de se connecter à un portail pour obtenir une copie des antécédents médicaux de son patient. Le site Web vers lequel les e-mails renvoient est faux, un sosie infâme simulé par des pirates. Sans le vouloir, le médecin a renoncé à ses identifiants de connexion au portail du dossier médical réel ou téléchargé un virus.

Il s’agit de l’un des nombreux scénarios auxquels les RSSI des soins de santé se préparent alors que les systèmes de santé se préparent à une date limite fédérale d’octobre pour rendre les données des dossiers de santé électroniques partageables entre les réseaux hospitaliers, ce qui pourrait conduire à de nouvelles lignes d’attaques de cybercriminels, ont-ils déclaré, car cela attire attention aux nouveaux points d’entrée pour les pirates.

Les cyberattaques contre les systèmes de santé ne cessent d’augmenter et leurs coûts explosent. Les experts ont déclaré qu’il existe diverses raisons à cette augmentation, notamment le fait que les criminels sont de plus en plus avancés et que de plus en plus d’aspects des soins de santé sont en ligne.

Lorsqu’une cyberattaque a frappé le Sky Lakes Medical Center, un hôpital communautaire du sud de l’Oregon, fin octobre 2020, ses ordinateurs sont restés en panne pendant trois semaines. Les tâches les plus banales devenaient ardues. Les infirmières devaient surveiller les patients critiques toutes les 15 minutes au cas où leurs signes vitaux changeraient. Les médecins griffonnaient leurs ordonnances et les monceaux de papier envahissaient des pièces entières. En trois semaines, l’hôpital a parcouru 60 000 feuilles de papier.

Sky Lakes a dû reconstruire ou remplacer 2 500 ordinateurs et nettoyer son réseau pour se remettre en ligne. Même après avoir embauché du personnel supplémentaire, il a fallu six mois pour saisir tous les dossiers papier dans le système. Au total, John Gaede, directeur des services d’information de Sky Lakes, affirme que son organisation a dépensé 10 millions de dollars – une grosse dépense pour une organisation à but non lucratif avec environ 4,4 millions de dollars de revenus d’exploitation annuels (l’organisation n’a pas payé de rançon).

Pour les hôpitaux aux budgets limités, on se demande dans quelle mesure ils peuvent se protéger. L’attaque de Sky Lakes faisait partie d’une vague d’attaques en 2020 et 2021 lié à un groupe criminel en Europe de l’Est.

“Nos budgets ont généralement une marge de peut-être 3 % un an », a déclaré Gaede,« mais nous sommes censés rivaliser avec les acteurs de l’État-nation?

Les données de santé sont lucratives sur le marché noir, faisant des hôpitaux une cible privilégiée. De plus, si un système de santé dispose d’une assurance contre les ransomwares, les criminels peuvent penser qu’ils sont assurés d’être payés. Les rançongiciels bloquent les dossiers hospitaliers dans des fichiers cryptés jusqu’à ce que des frais soient payés.

« À l’époque où les rançons s’élevaient à 50 000 dollars, il était moins cher de les payer que de faire face à un procès qui aurait coûté beaucoup plus cher », explique Omid Rahmani, directeur associé chez Fitch Ratings, une agence de notation, ajoutant que les rançons coûtent désormais des millions. “Le paysage a changé et à cause de cela, le côté de la cyberassurance a changé – et c’est vraiment lié à l’essor des ransomwares.”

Dans son rapport sur le coût annuel d’une violation de données, IBM écrit que le coût moyen mondial d’une attaque contre un système de santé est passé d’environ 7 millions de dollars à plus de 9 millions de dollars en 2021. Mais remédier à ces violations aux États-Unis peut être beaucoup plus coûteux. Il n’existe pas de données complètes sur les dépenses des systèmes de santé américains pour les attaques, mais quelques cas très médiatisés apportent un éclairage :

  • Une violation des services de santé universelsqui dessert 3,5 millions de patients, a coûté 67 millions de dollars.
  • L’Université du Vermont, un établissement médical universitaire avec environ 168 000 patients annuels, a dépensé 54 millions de dollars pour se remettre d’une attaque en 2020.
  • Scripps Health, qui traite 700 000 patients par an, a perdu 112,7 millions de dollars.

Les systèmes de santé ne récupèrent que partiellement ces coûts. Scripps a reçu 35 millions de dollars de ses assureurs, selon un communication financière trimestrielle – environ 30 % du coût réel. L’Université du Vermont a recueilli 30 millions de dollars auprès de son assureur, tandis que United Health Services a reçu 26 millions de dollars.

“Ce que je constate, c’est que le coût de la correction après une cyberattaque à fort impact – qu’il s’agisse d’un vol important de données ou d’une attaque de ransomware perturbatrice – est facilement cinq à dix fois supérieur à leur couverture d’assurance, que vous soyez un petit hôpital ou grand », a déclaré John Riggi, conseiller principal en matière de sécurité à l’American Hospital Association.

Le delta entre le coût d’une cyberattaque et ce que les assureurs paieront est susceptible de croître. L’année dernière, au milieu d’un déluge de réclamations, Reuters a rapporté que les cyberassureurs ont tous deux reculé sur les taux de remboursement maximaux et les types d’attaques qu’ils couvrent. En novembre, Lloyd’s of London, un important fournisseur de cyberassurance, a annoncé qu’il ne couvrirait pas la cyberguerre, ou des cyberattaques menées au nom d’un État-nation. Les primes augmentent en nature.

“Je ne saurais trop insister, tous ces coûts auxquels je fais référence ici sont payés par nous tous”, déclare Brad Ellis, responsable du groupe d’assurance maladie américain de Fitch Ratings. “[Health systems] sont payés par les compagnies d’assurance et nous payons tous les primes qui ont beaucoup augmenté. Et ils continuent de monter.

Le rôle du gouvernement

Une grande question est de savoir dans quelle mesure les agences gouvernementales devraient protéger les organisations considérées comme des infrastructures critiques. Deux agences – l’Agence de sécurité de la cybersécurité et des infrastructures et le Centre de coordination de la cybersécurité du secteur de la santé du ministère de la Santé et des Services sociaux – fournissent des informations sur les attaques et sur la manière de construire une infrastructure pour les repousser. La CISA et le FBI ont également des équipes d’intervention en cas d’incident.

Eric Goldstein, directeur adjoint exécutif pour la cybersécurité chez CISA, a déclaré que le gouvernement avait besoin d’une meilleure visibilité sur le nombre d’attaques qui se produisent et où. “Il convient de noter qu’une partie importante des intrusions dans la cybersécurité ne sont pas signalées au gouvernement”, a-t-il déclaré.

Les systèmes de santé sont tenus de signaler les expositions de données qui affectent plus de 500 personnes au Bureau des droits civils. Mais si les données sur la santé ne sont pas diffusées, les systèmes de santé n’ont pas à faire de rapport.

Mais cela est sur le point de changer. Au printemps dernier, Biden a signé un décret exécutif sur l’amélioration de la cybersécurité du pays que Goldstein appelle “le décret exécutif sur la cybersécurité le plus impactant jamais sur le plan opérationnel”, signalant un investissement accru dans la cybersécurité.

«Cela marque vraiment un changement radical dans la façon dont le gouvernement fédéral gère sa propre cybersécurité», dit-il.

L’administration Biden a également convoqué une réunion la semaine dernière avec plusieurs cadres de la santé et des hauts fonctionnaires concernés pour discuter des menaces à la cybersécurité et du défi de sécuriser les petits systèmes de santé.

En mai, président du Sénat chargé de la sécurité intérieure et des affaires gouvernementales Gary Peters (D-Mich.) a publié un rapport montrant que le gouvernement ne disposait pas de données suffisantes sur les cyberattaques frappant des infrastructures critiques, comme les établissements de santé, protéger efficacement la nation contre de telles frappes. Peters est également à l’origine du Cyber ​​Incident Reporting Act, une loi récemment adoptée qui impose des délais serrés pour signaler les cyberattaques importantes et les paiements de rançongiciels à la CISA (la règle donne également à la CISA le pouvoir d’assigner à comparaître quiconque ne respecte pas ces délais).

À son tour, CISA concevra un système d’alerte pour alerter les cibles potentielles des exploits courants et mettra en place un groupe de travail sur les ransomwares pour prévenir et perturber les attaques. Le groupe de travail doit être mis en place vers mars de l’année prochaine, tandis que le pilote d’avertissement de vulnérabilité des ransomwares a un an pour démarrer.

Goldstein reconnaît que le gouvernement ne défend peut-être pas activement tous les systèmes de santé contre une cyberattaque. Mais, il note que la CISA a mis en place l’année dernière la Joint Cyber ​​Defense Collaborative pour travailler avec les entreprises de télécommunications et les fournisseurs de cloud sur la sécurisation de leur infrastructure, et les systèmes de santé, qui utilisent ces réseaux, devraient en bénéficier par procuration.

“La cybersécurité est maintenant, peut-être pour la première fois, un problème de conseil d’administration et de C-suite dans des organisations à travers le pays”, a-t-il déclaré, ajoutant que ce niveau d’attention et de dépenses est en fin de compte ce qui aidera à contrer la menace.


Source link

Articles similaires