L’industrie médicale est en pleine essor et avec elle une augmentation des cyber attaques pour récupérer des données patients précieuses.

En octobre dernier, 24 millions de dossiers de patients ont été divulgués par les opérateurs chinois d’appareils médicaux.

Deux failles de sécurité sont à l’origine de ces fuites de données médicales.

Cela révèle à quel point les pratiques et les réglementations en matière de cyber sécurité sont obsolètes, alors que dans un même temps, l’industrie chinoise des technologies de la santé va de l’avant.

Mais comment cela peut-il être possible ? Analysons le problème :

  • D’ où proviennent les fuites de données médicales ?
  • Des données médicales en libre accès.
  • Le marché de la santé en Chine, un marché porteur.
  • Les fuites de données ne sont punies que par de petites amendes

 

I. D’où proviennent les fuites de données médicales ?

WizCase, le site de surveillance de la cybersécurité a su déceler d’où provenaient les fuites.

En examinant les captures d’écran de fuites signalées, TechNode a demandé des précisions au chercheur néerlandais en cybersécurité Victor Gevers.

Lors de la première fuite, par Sichuan Lianhao Technologies, un fournisseur de solutions médicales sur Internet, 24 millions d’enregistrements exposés comportaient non seulement des dossiers médicaux, mais aussi de données identifiant directement les patients et les médecins, comme des noms, des numéros d’identification, des numéros de téléphone et des informations médicales.

Lors de la deuxième fuite, le département médical de la principale université chinoise de Tsinghua a laissé les détails d’environ 60 000 patients exposés.

Les informations détaillées des patients telles que leur âge, leur taille, et sur leur naissance ont été divulguées.

Aucune information nominative n’était contenue dans le serveur.

 

II. Des données médicales en libre accès

Un chercheur principal de WizCase, faisant partie de l’équipe qui a révélé les fuites, a déclaré « Les fuites ont été initialement identifiées comme des serveurs avec des ports DB ouverts qui étaient connectés à l’internet ouvert ».

Un certain type d’architecture de stockage de données est souvent la source des fuites.

En effet, Les ports DB sont capables de se connecter aux serveurs MongoDB, qui fait partie des stockages de données.

L’architecture du serveur est libre d’utilisation et sert des données de type documentaire, plutôt que des fichiers multimédia.

 

« Le serveur s’est avéré être accessible via les ports ElasticSearch sans authentification nécessaire, ce qui signifie que n’importe qui peut accéder aux données qu’il détient en s’approchant de l’IP et du port du service ElasticSearch de chaque serveur », a déclaré M. Efrat.

La fonction de recherche ajoutée Elasticsearch  « est couramment utilisée pour rendre de grands ensembles de données facilement consultables », a déclaré le chercheur Victor Gerves.

 

Grace à des ports, les employés peuvent avoir accès aux données, lorsque les entreprises mettent le serveur en ligne.

Mais des mesures doivent être prises pour garantir l’accès.

« Certaines plateformes et technologies sont censées être tenues à l’écart de l’internet ouvert,a déclaré Efrat. « Les bases de données comme ElasticSearch ont été conçues pour être mises en œuvre dans des réseaux fermés ».

 

En utilisant des serveurs de protection qui bloquent certains points d’entrée et exigent une authentification pour y accéder, cela devrait empêcher ses données de tomber entre de mauvaises mains.

 

« Notre conseil est de toujours protéger les serveurs connectés à l’internet par un pare-feu bloquant tout sauf le port 443 (pour le HTTPS) ou de limiter l’accès au service par un filtrage réseau pour n’accepter que les connexions locales », a déclaré M. Gevers.

 

L’université de Tsinghua était responsable d’une autre fuite de données médicales en septembre dernier, a déclaré M. Gevers. Cette fuite a laissé des millions de données identifiables provenant de 109 hôpitaux de la province chinoise du Sichuan disponibles en ligne, a-t-il ajouté.

 

En analysant les informations de WizCase à sa propre divulgation, M. Gevers a déclaré à TechNode que les deux fuites provenaient de serveurs séparés.

Mais dans les deux cas, La faille de sécurité concerne le service ElasticSearch.

L’université basée à Beijing a réfuté la déclaration de M. Gevers en septembre sur Twitter, elle affirme ne pas faire fonctionner le serveur.

 

III. Le marché de la santé en Chine, un marché porteur

Le marché de la santé en Chine représente un billion de dollars (en chinois), avec des appareils connectés intelligents. Le e-santé en Chine est bien d’actualité.

Les entreprises se disputent des parts du plus grand marché du monde.

  • Des géants comme Alibaba et JD ont rejoint la course.
  • 84,7% des hôpitaux fournissent un service en ligne  Tencent)
  • Lire aussi marketer des produits de soin en Chine ici

Selon le même rapport, seuls 56,4% des services incluent des tests et des consultations.

L’utilisation de logiciels tiers est courante dans l’industrie médicale et augmente la probabilité de cyber-attaques, a déclaré M. Efrat.

 

« Il a été rapporté qu’environ 17% des attaques de réseau dans les hôpitaux proviennent d’appareils médicaux »

a déclaré Simun Hui, un partenaire du cabinet d’avocats Baker Mckenzie basé à Shanghai. « 77% des hôpitaux ont déclaré qu’ils étaient préoccupés par le risque de sécurité des équipements médicaux ».

 

Les applications pour patients des hôpitaux chinois sont utilisées afin de prendre des rendez-vous médicaux et d’améliorer leur accès aux services médicaux depuis leur domicile.

Trois quart de ses applications sont vulnérables en matière de cyber sécurité.

Les auteurs de rançons ciblent le secteur médical chinois depuis 2017, a déclaré M. Tencent.

Les rançons représentent près d’un tiers de toutes les attaques dans le pays.

Cela est devenu un réel danger pour le bien-être physique des patients, ont déclaré les experts à TechNode.

 

Hui a déclaré qu’il existe « une tendance selon laquelle les pirates ne se contentent plus d’extraire les dossiers médicaux et les données des patients ». Ils s’attaquent aux dispositifs médicaux et menacent la sécurité des patients ».

 

Les autorités n’ont pas encore publié de réglementation couvrant spécifiquement les données médicales des prestataires de services de santé. « Jusqu’à présent, nous n’avons vu aucune loi ou réglementation obligatoire mise en œuvre spécifiquement pour les opérateurs et les vendeurs d’appareils médicaux », a déclaré M. Hui.

 

 

IV. Les fuites de données ne sont punies que par de petites amendes

La China Food and Drug Administration (CFDA) a publié des principes directeurs sur les examens techniques de l’enregistrement des dispositifs médicaux en terme de cyber sécurité en 2017.

La CFDA appelle à des examens de sécurité pour tous les opérateurs de dispositifs médicaux.

Hui s’attend à ce que ces examens soient obligatoires à l’avenir.

  • Le ministère de la sécurité publique affirme avoir mené des inspections sur 27 000 entreprises.
  • Depuis la loi de 2017 sur la cybersécurité, les hôpitaux ont du s’affranchir d’amendes.
  • Les amendes administratives sont généralement proches du montant minimum requis par la loi, compris dans une fourchette entre 10 000 RMB (1 440 $) et 100 000 RMB, selon les médias locaux de l’État

Les serveurs d’un hôpital de Chongqing ont dû être complétement fermés car ils étaient entièrement piratés informatiquement. L’hôpital a reçu une amende 10 000 RMB en mai dernier.

L’hôpital n’avait pas séparé les données en fonction de leur sensibilité, et il n’était pas suffisamment protégé des pirates informatiques.

Un fait plus grave, en mars, des pirates ont installé une porte dérobée dans les serveurs d’un hôpital de chirurgie plastique.

Les informations recueillies sur ses patients ont été utilisées pour construire un site web de prostitution (en chinois).

L’hôpital a été jugé responsable par les autorités et a écopé d’une amende de 10 000 RMB.

 

En conclusion

Alors que le rapport Tencent affirme que la cybersécurité devient une priorité dans le secteur de la santé de plus en plus numérisé, de nombreux exemples montrent que l’architecture bâclée est encore très répandue dans le secteur de la santé.

Nous sommes encore loin d’une cybersécurité efficace qui dans un domaine comme celui de la Santé devrait l’être.

Avez-vous des commentaires suite à ça?