Archives par mot-clé : hopital

RGPD cas d’école : hôpital

Un logiciel malveillant a récemment touché plusieurs sites Web de l’hôpital de Floride. Certaines informations patients concernées.

« L’ampleur de cette exposition a été limitée et il a été confirmé qu’aucun dossier financier n’a été affecté » indique le communiqué de presse de l’hôpital de Floride. Une alerte lancée par l’hôpital de Floride à la suite du piratage de plusieurs de ses sites web : FloridaBariatric.com, FHOrthoInstitute.com et FHExecutiveHealth.com. Les espaces web ont été mis hors ligne le temps de la correction (et de l’enquête). Les informations des patients exposées sur FloridaBariatric.com comprennent les noms, les adresses mails, les numéros de téléphone, les dates de naissance, la taille, le poids, les compagnies d’assurance et les quatre derniers chiffres des numéros de sécurité sociale. Pour les deux autres sites, les informations compromises se limitent au nom, à l’adresse courriel, au numéro de téléphone et à à l’ensemble des commentaires fournis par l’individu. Bref, un ransomware activé après un clic malheureux sur un fichier joint !

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

RGPD et Ransomware : des actions judiciaires à prévoir dès mai 2018 ?

Votre société a été touchée par un ransomware ? En mai 2018, des actions judiciaires lancées par vos clients pourraient rajouter une couche d’ennuis à votre entreprise.

RGPD et actions judiciaires ! Le 18 janvier 2018, la société américaine Allscripts était touchée par un ransomware. Classique attaque qui chiffre les fichiers des ordinateurs infiltrés. Une cyberattaque possible via le clic malheureux d’un employé sur un mail piégé. Une attaque qui a perturbé l’entreprise, mais aussi directement ses clients. Ces derniers ne pouvaient accéder à leurs dossiers de patients ou de facturation.

Bilan, une plainte de recours collectif (Class action) a été déposée contre Allscripts. Le fournisseur de dossiers de santé électroniques (DSE) va se retrouver devant la justice. Un de ses prestataires, Surfside Non-Surgical Orthopedics, basé en Floride, spécialisé dans la médecine sportive, a déposé une plainte contre DSE.

Actions judiciaires, rançongiciel …

En en raison de l’attaque, Surfside indique qu’il « ne pouvait plus accéder aux dossiers de ses patients ou prescrire électroniquement des médicaments« .  Bilan, rendez-vous annulé, pertes d’argent… Allscripts est l’un des fournisseurs de dossiers médicaux électroniques (DSE) les plus répandus dans le monde.

L’entreprise est toujours à travailler, plusieurs jours après cette « attaque », à restaurer certains de ses systèmes informatiques suite au rançongiciel.

Fait intéressant, le type de ransomware utilisé dans l’attaque [SamSam ransomware] était le même que celui utilisé dans une attaque contre Hancock Health, un autre système de santé basé dans l’Indiana, début janvier 2018. Dans ce cas, les responsables du système de santé ont fermé tout le réseau Hancock Health et ont finalement payé le pirate. Il aurait reçu 55 000 dollars en bitcoin.

SamSam a également été utilisé contre le système de santé intégré MedStar Health, en mars 2016. Bleeping Computer a noté que d’autres attaques ont signalées, impliquant SamSam, dans les machines de l’Adams Memorial Hospital (Indiana).

Les systèmes d’Allscripts desservent environ 180 000 médecins et 2 500 hôpitaux. Il n’est pas clair si la société a payé une rançon.

L’hygiène informatique dans les hôpitaux, un enjeu de sécurité publique

La numérisation de la société et des services publics n’épargne pas les hôpitaux et autres institutions de soins. Mais depuis plusieurs mois, ces établissements sont la cible de pirates dont les attaques représentent un vrai danger pour l’intégrité de notre système de santé.

Hygiène informatique dans les hôpitaux – C’est un chiffre qui a de quoi étonner : en 2015, en France, 1300 attaques informatiques ont été dirigées contre des établissements de santé, hôpitaux inclus. A l’échelle quotidienne, le chiffre est encore plus saisissant avec une moyenne de 3 à 4 actions malveillantes par jour à l’encontre des systèmes informatiques (SI) de ces établissements. Et encore, on ne parle ici que des actes de piratage officiellement déclarés aux ministères des Affaires sociales et de la Santé. La discrétion observée dans le milieu ne laisse entrevoir que la partie émergée de l’iceberg. Pour des raisons de sécurité mais aussi de réputation…

Aujourd’hui, le bon fonctionnement d’un hôpital dépend toujours de l’organisation et des compétences de son personnel. Mais plus seulement ! Il dépend aussi des outils numériques utilisés à tous les étages. Tous ces équipements connectés qui constituent l’hôpital moderne, désigné officiellement par les pouvoirs publics comme l’hôpital numérique.

A l’accueil par exemple, c’est l’ordinateur qui permet de créer un dossier patient sur le système central de l’établissement. C’est la borne interactive destinée à orienter les visiteurs. En salle d’opération, ce sont les écrans d’aide à l’intervention chirurgicale, les moniteurs de suivi du patient.

Dans le stock de médicaments, ce sont les robots préparateurs en pharmacie. Dans les chambres, c’est le système de divertissement et d’informations médicales consultable par le patient sur tablette tactile.

C’est aussi le réseau Wi-Fi local qui permet au personnel de consulter les dossiers médicaux à partir de n’importe quelle pièce, de n’importe quel support, vers n’importe quelle source, interne ou externe…

15 000 euros de rançon
Chacun de ces appareils connectés à l’avantage de faire gagner du temps, de la précision, et de l’argent. Mais ils ont le principal défaut d’être le plus souvent reliés à un seul et même réseau. Pour des raisons de coût et de négligence…

Un caillou jeté dans cette vitrine technologique, et c’est le fonctionnement de tout l’établissement qui s’en trouve perturber. Le centre médical presbytérien d’Hollywood, aux États-Unis, en a fait l’amère expérience en février 2016.

Un ransomware, baptisé Locky, a été injecté dans le réseau de l’établissement, verrouillant l’accès aux serveurs et ordinateurs utilisés par le personnel. Moyennant une somme négociée à 15 000 euros avec les pirates à l’origine de cette paralysie, le centre a pu retrouver l’accès à son réseau.

En France, quelques semaines plus tard, c’est le centre hospitalier d’Épinal qui était la cible d’une attaque. Croyant recevoir un mail de son avocat, un médecin a cliqué sur la pièce jointe au message. Le geste a contaminé l’ensemble du réseau de l’hôpital. La direction de l’établissement est restée très évasive sur ce piratage, sans confirmer l’attaque du ransomware avancée par le site spécialisé Zataz.

Comme son nom l’indique, le ransomware, ou rançongiciel en français, a vocation à permettre de soutirer une rançon avant de redonner accès aux outils numériques d’un établissement. Où il est ici « seulement » question d’argent.

Mais l’attaque d’un hôpital peut provoquer plus de dégâts, encore hypothétiques aujourd’hui. Tout d’abord sur le matériel, comme l’a expérimenté le spécialiste en cybersécurité, Sergey Lozhkin.

Hygiène informatique dans les hôpitaux

Le vrai-faux pirate a réussi à prendre le contrôle du scanner médical d’un hôpital via le réseau interne wi-fi de l’établissement. Rien de malveillant dans l’intention. Juste la démonstration qu’aux commandes de la machine, il pouvait en dérégler les paramètres, jusqu’à provoquer une panne sur un outil précieux, tant du point de vue médical que financier.

Ce qui peut être fait sur un scanner, peut l’être tout autant sur une climatisation ou, pire, sur un appareil d’assistance branché sur un malade. Et dans ce cas, le changement des paramètres peut alors avoir des conséquences bien plus fatales…

Face à ces attaques, les hôpitaux et autres établissement de santé se donnent-ils pour autant la force d’agir et de réagir ? Oui, pour une grande majorité si l’on se réfère à l’Atlas 2016 des systèmes d’information hospitaliers (SIH). Selon ce rapport annuel délivré par la Direction Générale de l’Offre de Soins (DGOS), 88% des établissements de santé disent avoir engagé une politique de sécurité du système informatique, contre 74% l’année précédente. L’objectif imposé par l’Etat dans son programme Hôpital numérique est de 100% d’ici à 2018.

La sensibilisation du personnel à l’ Hygiène informatique

Mais reste à savoir quels moyens cela implique. Un chiffre relativise cette notion de politique de sécurité : seuls 8% des établissements ont un référent à temps complet. L’implication est plus importante pour les CHU et CHR, avec un Monsieur -ou une Madame- Sécurité SI à temps complet dans 42% des cas. Les autres mutualisent ou externalisent.

Quelle que soit la formule choisie, la politique de sécurité informatique d’un hôpital passe par la sensibilisation de son personnel. Car le point d’entrée le plus vulnérable d’un réseau, c’est bien l’humain. Sa méconnaissance des dangers, comme l’ouverture d’une pièce jointe dans un mail, peut conduire à la catastrophe. Ou l’affichage d’un mot de passe sur un bout de papier collé sur un bureau pour l’ensemble d’un service…

L’hygiène informatique en milieu hospitalier passe aussi par une évaluation de la solidité du réseau et des matériels connectés, des ordinateurs jusqu’à l’IRM. Par une protection anti-virus et l’utilisation de mots de passe complexes, pour accéder au réseau, puis à chacun des appareils connectés. Par une utilisation des derniers logiciels, et un suivi régulier de leurs mises à jour.

Tout comme les infections nosocomiales, les virus informatiques représentent une réelle menace pour les hôpitaux et autres établissements de santé. Ils n’ont donc d’autres choix, aujourd’hui et demain plus encore, que d’appliquer une politique d’hygiène informatique stricte. Il y va de la confidentialité de nos dossiers médicaux, mais aussi et surtout de l’intégrité du système de santé et de son bon fonctionnement au service du public. (Tanguy de Coatpont, directeur général de Kaspersky Lab France)

Clé USB perdue pour un hôpital, 29 000 patients concernés

La fuite de bases de données peut prendre de multiples formes. La perte d’un support de stockage contenant des informations sensibles médicaux par exemple.

Ca n’arrive pas qu’aux autres – 29 000 patients de l’hôpital universitaire Arnett de l’Indianna viennent d’être alertés d’un problème concernant leurs dossiers médicaux. Le centre hospitalier a alerté la justice de l’Etat à la suite de la « perte » d’une clé USB. Dans le support de stockage de l’University Health Arnett Hospital, des informations de santé de milliers de patients. La clé n’était pas chiffrée, n’avait pas de mot de passe. Le document n’était pas protégé contre les lectures non autorisées. Plus grave encore, les données couraient de novembre 2014 à novembre 2015. Quid des autres sauvegardes et de la sécurité de ces dernières ?

A noter, qu’en France, ce mardi 11 janvier, un hébergeur Lillois a été attaqué par un pirate informatique Turc. Des cabinets dentaires, des sites d’infirmiers et infirmières Français ont été impactés par cette attaque. Impossible de savoir si des données sensibles ont été collectées par le malveillant.

Piratage pour l’UCLA : 4,5 millions de patients dans la nature

La semaine dernière, dans l’émission 25 (Saison 4) de ZATAZ Web TV, je poussais un petit coup de gueule sur nos informations mal menée par les entreprises qui nous les collectent et par les pirates qui louchent dessus. Nouvel exemple en date, aux USA, avec le piratage de 4,5 millions de patients de l’UCLA, l’Hôpital de l’University of California.

Des pirates informatiques se sont invités dans le réseau hospitalier de l’Université de Californie, Los Angeles. Ils ont pu accéder à de nombreux ordinateurs et collecter pas moins de 4,5 millions de dossiers sensibles de patients, élèves, enseignants, personnels administratifs. Parmi les informations volées : Noms, information médicale, numéros de sécurité sociale, numéros d’assurance-maladie, ID de plan de santé, les dates d’anniversaires et les adresses physiques. Des informations « potentiellement » volées, selon l’université. Cela pourrait toucher toutes les personnes ayant visité – ou travaillé – dans les services médicaux de l’université UCLA. Un vaste secteur qui comprend quatre hôpitaux et 150 bureaux à travers le sud de la Californie. UCLA Santé a alerté le département de la justice américaine. L’attaque aurait été découverte voilà 2 mois, le 5 mai 2015. (Fox)

Fuite de données concernant une quarantaine de Centres Hospitaliers Français.

Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.

Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.

Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.

Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.

Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.

Comment une telle fuite peut-elle être possible ?

Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.

Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.

Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.

Un centre hospitalier mit en demeure par la CNIL

Le 25 septembre dernier, la Présidente de la CNIL a lancé une mise en demeure à l’encontre du Centre hospitalier de Saint-Malo. Tout a débuté en juin 2013, la Commission Informatique et liberté contrôlait le C.H. et découvrait qu’un prestataire avait pu accéder, avec le concours de l’établissement, aux dossiers médicaux de plusieurs centaines de patients. Un acte interdit par le code de la santé publique et la loi Informatique et Libertés. Les établissements de santé publics et privés doivent  procéder à l’analyse de leur activité.

Les actes pratiqués à l’occasion de la prise en charge des malades sont ainsi « codés » selon une nomenclature particulière, de sorte qu’à chaque acte possède son code de remboursement par l’assurance maladie. « Afin d’analyser leur activité et de détecter d’éventuelles anomalies de codage, certains établissements ont recours à l’expertise de sociétés extérieures pour procéder à la vérification et à la correction de ces opérations« . Une aide qui permet des remboursements rapides.

Sauf que les entreprises de santé ont oublié qu’en application des dispositions prévues au chapitre X de la loi Informatique et Libertés, les traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention sont soumis à l’autorisation de la CNIL. De tels actes doivent s’opérer dans le respect du secret médical et des droits des malades. La CNIL veille à ce que ces traitements ne portent pas sur les données nominatives des malades.

Le contrôle au Centre hospitalier de Saint-Malo a permis à la CNIL de relever que le prestataire mandaté par l’hôpital a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de 950 patients (informatisés ou en version papier). La mise en demeure du Centre hospitalier de Saint-Malo indique que l’hôpital doit veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.

La CNIL a décidé de rendre publique cette mise en demeure en raison de la sensibilité des données (à savoir des données de santé), de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements. Pas de sanction prise, aucune suite ne sera donnée à cette procédure si le Centre hospitalier de Saint-Malo se conforme à la loi dans le délai imparti de 10 jours.