Lorsque les appareils médicaux sont piratés, la plupart du temps les hôpitaux ne le savent pas.

La menace pour les dispositifs médicaux est réelle et se produit maintenant et c’est un problème de sécurité des patients, beaucoup plus que celui de la conformité HIPAA.

Les trois derniers mois ont vu un record de rappels de dispositifs médicaux, en hausse de 126 % au premier trimestre de 2018 par rapport à l’année dernière, selon l’indice Stericycle Recall. Le plus gros coupable était le logiciel, ce qui n’est pas surprenant compte tenu de l’augmentation des appareils de haute technologie qui fonctionnent souvent sur les systèmes existants.

Alors que de nombreux systèmes de santé ont des plates-formes héritées sur certains aspects de son réseau – pensons aux IRM et aux appareils à rayons X, les dispositifs médicaux sont un outil qui peut directement mettre en danger les patients en cas de défaillance.

« La sécurité sur les appareils n’a pas seulement un impact sur HIPAA, elle affecte la sécurité des patients », a déclaré Christian Dameff, MD, un médecin de salle d’urgence à l’Université de Californie à San Diego.

« Non seulement la sécurité des patients est-elle un réel problème avec une violation d’appareil médical, mais ces piratages sont déjà en cours », a expliqué Jeff Tully, anesthésiste et pédiatre à UC Davis. « WannaCry a paralysé les systèmes hérités du National Health Service du Royaume-Uni et ils n’étaient pas la cible initiale. »

Tully et Dameff ont pris des médecins sans méfiance et les ont placés dans des simulateurs de dispositifs médicaux simulés et ont ensuite demandé s’ils pensaient qu’une pompe avait été piratée.

« Et tous ont dit non » indique Tully. « Ils ont une confiance implicite et ils n’ont pas l’infrastructure. C’est une configuration parfaite pour que [les dispositifs médicaux] soient piratés. »

Le problème est suranné, les systèmes hérités avec des mots de passe codés en dur qui peuvent être trouvés avec une simple recherche Google, a expliqué Tully. Les gens ne cherchent pas ce genre de violation.

Selon la cible, il peut être assez simple d’entrer, a expliqué Dameff. Même si un grand réseau hospitalier est moins susceptible de réussir dans cette zone avec une architecture élaborée et éprouvée, les petits fournisseurs disposant de moins de ressources risquent de ne pas être aussi chanceux.

« La pénurie de sécurité, couplée à l’architecture de ces réseaux, les dispositifs hérités, les systèmes obsolètes – et les surfaces d’attaque énormes – ce sont des dégâts que nous allons nettoyer », a déclaré Dameff.

La paire a étudié les hacks sur les stimulateurs cardiaques, les appareils d’éclairage, les pompes à insuline et similaires, et Tully a déclaré qu’ils démontrent l’impact sur les soins aux patients si un pirate était capable de pénétrer dans l’appareil. Comme les deux sont des médecins actifs, leur mission est personnelle.

« Notre objectif principal est de traduire aux personnes qui ne comprennent pas l’impact sur ceux dans le cadre de soins », a déclaré Dameff. « Ce que nous devons faire est de changer le paradigme pour créer une stratégie pour sécuriser ces appareils. »

L’espoir est de remettre en question les hypothèses et de sensibiliser les OPCC à prendre en compte ces éléments, et de voir les scénarios cliniques qui peuvent se produire lorsqu’un dispositif médical est compromis, explique Tully.

Il s’agit de « reconnaître que ça va arriver, que vais-je faire pour me préparer maintenant ? », A-t-il ajouté.

Tully et Dameff montreront des simulations réelles de l’anatomie d’un hack de dispositif médical au forum HIMSS Healthcare Security à San Francisco.