Les cyberattaques contre les hôpitaux “devraient être considérées comme une catastrophe régionale”, selon des chercheurs : NPR

Les cyberattaques contre les hôpitaux “devraient être considérées comme une catastrophe régionale”, selon une étude.

Busa Photography/Getty Images

masquer la légende

basculer la légende

Busa Photography/Getty Images

Les cyberattaques contre les hôpitaux “devraient être considérées comme une catastrophe régionale”, selon une étude.

Busa Photography/Getty Images

C’était début mai 2021 lorsque des patients ont inondé la salle d’urgence du centre de santé de l’Université de Californie à San Diego.

“Nous faisions appel à du personnel de secours, nos temps d’attente s’étaient détraqués, tout le système était surchargé”, a déclaré le Dr Christopher Longhurst, médecin-chef et responsable numérique de l’UC San Diego. “Nous l’avons ressenti.”

Mais la crise n’était pas le résultat d’un accident massif ou de la dernière vague de patients infectés par une nouvelle variante de coronavirus. L’afflux était le résultat direct d’une attaque par ransomware, une forme de cybercriminalité coûteuse et malheureusement désormais courante dans laquelle les pirates verrouillent les fichiers de leurs victimes et exigent une rançon, souvent de plusieurs millions de dollars, pour les déverrouiller.

En réalité, l’UC San Diego n’était pas la cible. Leurs systèmes étaient intacts. Au lieu de cela, les pirates avaient pénétré dans l’hôpital en bas de la rue, Scripps Health. Les coupables ont non seulement pris le contrôle du système d’enregistrement numérique de l’hôpital et de l’ensemble de son réseau informatique, mais ont également volé des millions de données confidentielles de patients. Scripps a lutté pendant des semaines pour se remettre en ligne et fait toujours face aux conséquences, après avoir payé 3,5 millions de dollars dans le cadre d’un règlement judiciaire plus tôt cette année avec des patients dont les données ont été exposées.

Les cyberattaques contre les hôpitaux « devraient être considérées comme une catastrophe régionale », selon une étude

Auparavant, il y avait très peu de données ou d’analyses concrètes décomposant les impacts directs d’une cyberattaque sur un hôpital, sans parler d’une région entière de prestataires de soins de santé. La plupart des preuves de préjudice, y compris des décès, restent anecdotiques et ont fait l’objet de poursuites, dont un cas en Alabama en 2019 où une famille a poursuivi l’hôpital lorsque leur bébé est décédé lors d’une attaque de ransomware.

Il y a des raisons au manque de données. Il y a des problèmes de responsabilité, des lois sur la confidentialité, la crainte d’une atteinte à la réputation et des défis techniques. L’attaque de Scripps a été très médiatisée et le PDG Chris Van Gorder s’est avancé pour écrire un éditorial sur les leçons appris de l’attaque du Tribune de San Diegoe plusieurs mois plus tard. Cependant, il existe toujours des limites sur la quantité de Scripps pouvant être partagée. Et les victimes d’attaques majeures de rançongiciels, les hôpitaux et d’autres entités sont encore extrêmement hésitantes à se manifester.

C’est là qu’intervient l’UC San Diego.

En 2019, l’UC San Diego a nommé le premier directeur médical de la cybersécurité, le Dr Christian Dameff. Dameff, qui est également médecin urgentiste, a rejoint une équipe de médecins et d’experts en cybersécurité pour étudier l’impact d’une attaque de ransomware sur un hôpital voisin, en utilisant leur expérience en 2021. (Les auteurs de l’article n’identifient pas l’hôpital Scripps comme la victime de l’attaque de ransomware à proximité, afin de garder l’attention sur leurs résultats, bien que des indices contextuels tels que la période et le lieu le montrent clairement.) Ils ont publié les résultats de leurs recherches dans le magazine à comité de lecture. Journal de l’Association médicale américaine en mai.

L’équipe de chercheurs de l’UC San Diego a documenté un afflux massif de patients aux urgences dans les semaines qui ont suivi la violation. Par rapport aux semaines précédant l’attaque, plus de 600 patients supplémentaires attendaient aux urgences, tandis que le nombre de patients partant sans avoir été vus par un médecin a plus que doublé. Il y a eu plus du double du nombre d’AVC confirmés au cours de la même période, ainsi que près du double du nombre d’activations de codes d’AVC d’urgence, selon l’article.

Les auteurs ont conclu que leurs découvertes prouvaient que les hôpitaux à proximité immédiate d’une victime d’une attaque par rançongiciel connaissent de sérieuses contraintes de ressources, “affectant les soins urgents pour des conditions telles qu’un accident vasculaire cérébral aigu”.

Les cyberattaques contre les hôpitaux “devraient être considérées comme une catastrophe régionale”, ont écrit les auteurs.

Lorsqu’on lui a demandé si les résultats étaient surprenants, Longhurst, médecin-chef et responsable numérique de l’UC San Diego, a déclaré que les données confirmaient en fait ce que son équipe avait vécu pendant cette période. “Nous l’avons vécu”, a-t-il déclaré.

“Ondulations dans l’étang après la chute de la pierre”

Il ne s’agit pas seulement de lier directement les décès aux attaques de ransomwares. Ces cas ont été bien couvert dans les nouvelles, et il y a du pouvoir à peindre un portrait personnel des conséquences individuelles de ces attaques, a déclaré Longhurst. Mais disposer de mesures supplémentaires qui illustrent les autres types de résultats négatifs associés à une cyberattaque, même à proximité, est précieux. Les données indiquent où les ressources pourraient être limitées et comment les patients pourraient souffrir à court et à long terme.

“D’une certaine manière, ce que nous recherchons, ce sont les ondulations dans l’étang après la chute de la pierre”, a déclaré le Dr Jeff Tully, un autre co-auteur de l’étude.

Tully a expliqué qu’une partie de la raison pour laquelle il n’y a pas plus de données granulaires sur les patients individuels touchés par une attaque de ransomware dans un hôpital est que les systèmes utilisés pour suivre les soins aux patients eux-mêmes peuvent être endommagés ou perturbés par l’attaque.

“Souvent, nous devons simplement nous concentrer sur le meilleur type de mesures de substitution ou de seconde main dont nous disposons”, a-t-il déclaré. Par exemple, il existe des recherches bien documentées démontrant que les patients victimes d’AVC qui ne reçoivent pas de soins immédiats sont plus à risque de mauvais résultats comme la perte de la parole, a déclaré Tully. “Nous essayons d’identifier les domaines dans lesquels il semble que nos flux de travail normaux de soins aux patients ne soient pas traités aussi efficacement que possible.”

L’Agence de cybersécurité et de sécurité des infrastructures du Département de la sécurité intérieure en septembre 2021 publié l’un des seuls autres articles s’est en partie concentré sur la tentative de quantifier les impacts d’une cyberattaque dans un environnement de soins de santé. Cette étude visait à documenter les défis rencontrés par le système de santé pendant la pandémie de coronavirus.

Deux des auteurs de l’article étaient Josh Corman et Beau Woods, qui travaillent dans le domaine de la cybersécurité des soins de santé depuis des décennies. Tous deux ont été recrutés pour faire partie d’un groupe de travail sur la cybersécurité du vaccin COVID-19 du gouvernement américain.

“Nous avons vu la capacité de la nation à fournir des soins médicaux souffrir”, a expliqué Corman dans une interview.

Bien qu’ils n’aient pas été en mesure de corréler directement la cyberattaque avec une augmentation du nombre de décès, l’impact était clair, selon le journal.

Certaines des mesures qu’ils ont étudiées comprenaient les chirurgies et les traitements contre le cancer annulés ou retardés, le manque de disponibilité des centres de test COVID, la perte de communication entre les hôpitaux, etc.

“Au-delà des conséquences évidentes des perturbations des équipements de diagnostic, de test et de traitement, même des réductions d’efficacité mineures causées par des incidents cybernétiques augmentent la charge de travail du personnel et dégradent la capacité du système à fournir des soins médicaux”, ont écrit les auteurs.

Tully de l’UC San Diego a déclaré que l’objectif de l’article était d’obtenir plus de données, d’inspirer de futures recherches similaires pour corroborer les résultats et de lancer des conversations dans les régions sur la façon de développer des protocoles d’intervention d’urgence, en traitant les cyberattaques comme des catastrophes naturelles.

En particulier dans un domaine scientifique, fournir des données pour démontrer l’étendue d’un problème est un moyen important de convaincre les supérieurs de consacrer des ressources à la résolution du problème, ont déclaré des experts lors d’entretiens. C’est également important dans les conversations sur les politiques. Des discussions sont en cours à Washington, DC, sur l’intérêt d’interdire les paiements par ransomware dans le but de décourager les cybercriminels. Mais en cas d’urgence dans un hôpital, perdre l’accès aux données des patients et à la technologie médicale, même pour une courte période, pourrait être catastrophique.

Il y a aussi un espoir qu’il y ait plus d’ouverture à l’avenir.

Selon Tully, certaines organisations ont déjà été très franches sur leurs expériences d’attaques similaires, notamment le centre médical de l’Université du Vermont. Mais il y en a des dizaines d’autres qui se sont complètement enfermés à l’abri des regards du public.

Le partage d’informations est particulièrement important à une époque où les attaques de ransomwares contre les hôpitaux sont à nouveau en hausse.

Plus de garde-corps

Selon Allan Liska, un expert en rançongiciels de la société de cybersécurité Recorded Future, le nombre d’attaques contre les hôpitaux a légèrement diminué en 2022, mais est jusqu’à présent sur la bonne voie pour augmenter en 2023. Une partie de la raison à cela, a expliqué Liska, est que le L’écosystème des rançongiciels évolue. Pendant des années, les petits cybercriminels ont payé des gangs de rançongiciels pour accéder à leurs méthodes d’attaque et à leurs logiciels malveillants. Les gangs de rançongiciels se sont professionnalisés au fil des ans et avaient un certain contrôle sur leurs affiliés. Mais maintenant, bon nombre des outils de piratage de ces groupes ont été volés et sont facilement accessibles en ligne. “Ces garde-corps, tels qu’ils étaient, ne sont plus en place”, a déclaré Liska.

Les parties prenantes dans le domaine indiquent déjà des domaines où le type de recherche menée par l’UC San Diego pourrait être élargi.

“En regardant la façon dont certaines autres unités sont affectées, comme la façon dont les systèmes de radiologie … si les gens obtiennent des retards de diagnostic parce qu’ils ne peuvent pas obtenir de tomodensitométrie … votre chimiothérapie ou votre radiothérapie est-elle retardée? Donc je pense si vous regardez différents services dans un hôpital, il peut y avoir des chiffres similaires », a déclaré Penny Chase, experte en cybersécurité chez MITRE lors d’un entretien avec NPR.

MITRE est une organisation à but non lucratif qui mène de nombreuses recherches pour le gouvernement américain. Au sein de MITRE, de nombreuses recherches sont en cours sur la manière dont les systèmes d’infrastructures critiques sont connectés, afin de mieux comprendre si un point de défaillance unique pourrait entraîner une catastrophe régionale paralysante comme à San Diego.

Cela inclut des secteurs entièrement différents, comme le secteur de l’eau, l’un des plus vulnérables, selon Chase.

“Le travail en laboratoire et d’autres types d’exercices auxquels nous avons participé essaient vraiment d’examiner ces secteurs d’infrastructures critiques et de voir quelles sont les interdépendances et quels sont les impacts en amont et en aval”, a-t-elle poursuivi.

Parler aux patients des risques cyber

Une chose importante à retenir, cependant, est de garder les patients inclus dans la discussion. Andrea Downing, défenseure du cancer du sein et experte technique, a fondé une organisation appelée Light Collective. Après d’importantes fuites de données privées, notamment le scandale de Cambridge Analytica en 2019, Downing s’est senti obligé de fonder une organisation qui défendrait spécifiquement une technologie sécurisée répondant aux besoins des patients.

Downing a rencontré Woods, Corman et d’autres lors du sommet annuel CyberMed, qui s’est tenu le plus récemment ce printemps à Washington, DC Le sommet est conçu pour réunir toutes les parties prenantes concernées dans une salle pour discuter des besoins les plus urgents en matière de cybersécurité des soins de santé, des vulnérabilités des dispositifs médicaux aux besoins de confidentialité. L’un des moments les plus mémorables a été une simulation dans laquelle Downing a joué le rôle d’un patient qui se faisait implanter un appareil cardiaque. Elle a dit que cela a fait comprendre que les médecins doivent parler immédiatement aux patients du consentement éclairé et des cyber-risques potentiels, plutôt qu’après la catastrophe.

Les ransomwares sont une crainte majeure au sein des groupes de défense des patients avec lesquels Downing travaille, a-t-elle déclaré. Ils ont peur de ne pas avoir accès aux soins dont ils ont besoin quand ils en ont besoin, mais aussi que les cybercriminels puissent voler et divulguer leurs données médicales privées et sensibles. Savoir qu’il existe un plan en place pour intervenir en cas de catastrophe inévitable serait un pas dans la bonne direction.

“Si nous avons une urgence ou un événement aigu, nous devons entrer aux urgences. Le temps peut vraiment égaler des vies”, a déclaré Downing.