Ellen Boehm, directrice principale de la gestion des produits IoT chez Keyfactor, un fournisseur de solutions de gestion d

Intensifier la cyber-hygiène: accès sécurisé aux dispositifs médicaux

Les dispositifs médicaux connectés sont omniprésents dans les établissements de santé où les prestataires surveillent numériquement l’observance et le traitement des patients. Mais, dans le contexte sans précédent d’aujourd’hui, la nécessité de déplacer les charges de travail vers le cloud et de protéger tous les points de terminaison n’a jamais été aussi essentielle.

Il existe une crainte saine que les pirates puissent exploiter les vulnérabilités, mettant ainsi en danger les patients et compromettant les ressources de données. En mars 2020, le ministère américain de la Santé et des Services sociaux a subi une déni de service distribué (DDOS) attaque sur son système informatique. L’attaque, réalisée par des utilisateurs automatisés, ou bots, impliquait une surcharge des serveurs afin de ralentir ou paralyser le système.

Des préoccupations concernant la cybersécurité sont justifiées, étant donné que 25 milliards d’objets connectés seront utilisés d’ici 2021, selon une prévision Gartner. Le risque potentiel peut être dévastateur, car la dépendance accrue à l’égard de l’infrastructure numérique augmente le coût de l’échec.

Alors que la pandémie COVID-19 déclenche un réoutillage rapide dans les industries pour répondre à l’appel à l’IoT médical – systèmes de diagnostic et support des appareils – la ruée vers l’amplification amplifie les défis de sécurité existants que l’industrie s’efforce de résoudre.

Ellen Boehm, directrice principale de la gestion des produits IoT chez Facteur clé, un pfournisseur de solutions sécurisées de gestion d’identité numérique, voit la réalité derrière les statistiques tous les jours.

« Tout nouvel appareil connecté étend les vecteurs d’attaque IoT; les cyber-attaquants exploitent la crise mondiale, et le renforcement de la sécurité des appareils est essentiel », explique Boehm. «Dans le cas d’appareils médicaux connectés, les risques de sécurité peuvent avoir un impact sur la vie. Les appareils qui relaient des signaux régulés, comme les stimulateurs cardiaques ou les pompes à insuline, peuvent être interceptés. Les attaquants peuvent modifier les données ou modifier le micrologiciel et le logiciel de l’appareil. Par exemple, si un attaquant accède à une pompe à insuline, il peut modifier les données qu’un médecin reçoit, ce qui pourrait modifier les exigences posologiques et affecter la sécurité des patients. Les fabricants doivent planifier et sécuriser correctement les appareils qui deviennent rapidement des machines plus complexes avec des fonctions complexes. »

Dans une conversation virtuelle avec Conception de la machine, Boehm discute de l’importance d’être vigilant en période d’incertitude en abordant les moyens de maintenir la conformité grâce aux technologies basées sur l’IoT, en incitant les industries à faire le point sur leurs protocoles de sécurité et en libérant les équipes informatiques afin qu’elles puissent progresser sur des problèmes urgents.

Conception de la machine: Veuillez nous parler des risques de sécurité. Quelles sont les motivations et l’intention de ces menaces? Quelles sont les dernières tactiques et techniques utilisées?

Ellen Boehm: Chaque année, de plus en plus d’appareils se connectent à Internet, car les entreprises voient des opportunités d’améliorer les résultats, notamment l’optimisation des appareils, l’analyse des données ou les fonctionnalités personnalisées de leurs produits IoT. Lorsque davantage d’appareils sont connectés, cela crée une cible plus large à exploiter par les pirates, en répartissant l’impact de leurs logiciels malveillants ou l’interruption des serveurs sur un paysage plus large. Les tactiques consistent à exploiter le maillon le plus faible du logiciel ou du micrologiciel du système IoT, que ce soit au niveau de l’appareil, de l’application ou des couches cloud.

Souvent, les fabricants d’appareils qui ne sont pas aussi établis avec les produits connectés se retrouvent avec des problèmes d’authentification, un manque de signature de code suffisante ou un cryptage faible, ce qui facilite la tâche des autres. Ces types de menaces sont de vieilles nouvelles pour les applications Web et l’espace d’entreprise, mais renaissent avec le lancement de nouveaux appareils IoT pour ceux qui manquent d’expérience dans l’espace de cybersécurité.

Ellen Boehm, directrice principale de la gestion des produits IoT chez Keyfactor, un fournisseur de solutions de gestion d’identité numérique sécurisées.MARYLAND: Qu’est-ce que cela signifie par rapport aux appareils médicaux connectés?

EB: En matière de sécurité des dispositifs médicaux, le U.S.Food and Drug Administration (FDA) Les conseils sur la cybersécurité ont été très instructifs et ont aidé les fabricants de dispositifs médicaux à réfléchir à la manière d’intégrer le bon niveau de cybersécurité dans leurs produits. En outre, le récent projet de loi sur la réglementation de la sécurité de l’IoT en Californie (SB-327 Confidentialité des informations: appareils connectés) requiert des informations d’identification uniques pour chaque appareil. Tout commence par établir la confiance dans chaque appareil fabriqué, en utilisant un certificat numérique différent pour chacun.

MARYLAND: Que peuvent faire les fabricants et un écosystème de conception multidisciplinaire pour protéger leur micrologiciel / logiciel? Quelles mesures proactives devraient-ils prendre?

EB: Lorsqu’il s’agit de protéger les communications des appareils IoT, des identités numériques uniques utilisant des certificats asymétriques et une méthode de génération des informations d’identification des appareils IoT basées sur une racine de confiance désignée sont une méthode recommandée pour implémenter la confiance au sein des appareils IoT et des points de terminaison avec lesquels ils communiquent.

MARYLAND: Pouvez-vous expliquer comment un pirate informatique peut compromettre la sécurité des patients?

EB: Nous devons penser au-delà du seul appareil physique et de son fonctionnement, car ce n’est qu’un angle. Nous ne voulons évidemment pas que les pirates modifient les paramètres d’un appareil connecté à une personne et aient un impact sur leur santé, mais nous ne voulons pas non plus que le même exploiteur entre dans les dossiers médicaux — accéder aux antécédents médicaux ou à d’autres informations personnelles qui pourraient être liées. à cette personne par le biais du système. C’est pourquoi il est si important pour toutes les communications entre les points de terminaison d’un système IoT d’utiliser des méthodes chiffrées pour transférer des données ou des commandes critiques.

MARYLAND: Vous avez déclaré que la pandémie modifierait le fonctionnement futur de l’industrie. Comment cela affecte-t-il l’industrie aujourd’hui et que devraient faire les fabricants pour pivoter à l’avenir? Que devront-ils modifier à l’avenir?

EB: Je pense que cette pandémie a été une expérience révélatrice pour beaucoup d’entre nous et nous a fait penser différemment à la façon dont nous travaillons et à la façon dont les soins de santé sont dispensés en cas d’urgence. Avec autant d’ordres de «rester à la maison», les patients ont un plus grand besoin de télémédecine pour se connecter avec leur fournisseur, car une visite physique est souvent irréalisable ou risquée en raison d’une infection. C’est peut-être plus vrai pour les procédures électives ou les consultations non essentielles qui sont reportées. Si ces consultations peuvent avoir lieu à distance, les visites de santé et de bien-être peuvent être maintenues comme prévu et ne pas être en attente jusqu’à une date ultérieure.

En ce qui concerne COVID-19, les patients présentant un risque plus élevé de complications du virus peuvent rester en toute sécurité à domicile et néanmoins bénéficier d’options de soins à distance. De plus, les appareils connectés peuvent être exploités pour fournir aux médecins et aux cliniciens les informations vitales et les informations sur les patients via une plateforme sécurisée, sans que le patient ait besoin de quitter son domicile. Il est essentiel que toutes les données et informations sur les patients soient protégées de manière sécurisée tout au long de chacune de ces expériences connectées.

MARYLAND: Des conseils que vous pouvez fournir sur quoi vous méfier? Y a-t-il des conseils?

EB: Comme les possibilités de télémédecine augmenteront probablement à l’avenir, le besoin d’un cryptage fort de toutes les communications concernant la santé et la sécurité des patients ne fera que croître. Considérez ce que nous entendons récemment dans les actualités à propos de Zoom, la société de visioconférence qui fait l’objet d’un examen minutieux pour son manque de sécurité concernant le chiffrement de bout en bout. Bien que les consultations à distance présentent de nombreux avantages, en ce qui concerne le secteur des soins de santé et la vie et le bien-être des personnes, il y a peu de place pour l’erreur.

Articles similaires

Commencez à saisir votre recherche ci-dessus et pressez Entrée pour rechercher. ESC pour annuler.

Retour en haut