banner

Blog

Jul 23, 2023

Des dispositifs médicaux mis au rebut contiennent de nombreuses informations sur les établissements de santé

Les pompes à perfusion vendues sur des marchés secondaires comme eBay contiennent encore des tonnes d'informations sensibles sur les hôpitaux qui en étaient autrefois propriétaires, ont découvert des chercheurs.

Deral Heiland, chercheur principal en sécurité chez Rapid7, et plusieurs autres ont examiné 13 marques de pompes à perfusion, comme Alaris, Baxter et Hospira, trouvant les informations d'identification d'accès et les données d'authentification de leurs anciens propriétaires. Les machines sont des appareils essentiels qui se trouvent à côté des lits d'hôpitaux et transmettent des fluides, des médicaments ou des nutriments dans le système circulatoire d'un patient.

L'examen met en lumière un problème persistant dans le domaine des dispositifs médicaux : les données stockées critiques laissées sur les pompes à perfusion qui ne sont pas correctement purgées avant la désacquisition. Les appareils sont souvent vendus sur les marchés secondaires lorsque les hôpitaux les modernisent ou les remplacent par des modèles plus récents.

Huit des 13 appareils examinés contenaient des informations sensibles – ce qui, selon Heiland, prouvait que certains avaient effectivement été correctement purgés de leurs données avant d'être vendus sur des sites comme eBay.

Les informations laissées sur la plupart des appareils offriraient à quelqu'un des mots de passe WiFi qui avaient de fortes chances d'être encore valides dans les organisations médicales aux États-Unis.

« Définir des restrictions sur ce qui peut ou ne peut pas être vendu en ligne devient difficile. Comment le marché – Ebay, par exemple – pourrait-il contrôler cela pour déterminer si les appareils ont été purgés ou non ? » Heiland a déclaré à Recorded Future News.

« Dans cette affaire, je pense que la responsabilité incombe aux deux parties. Premièrement, les fournisseurs de technologies médicales intégrées devraient proposer une méthode simple et bien documentée pour purger les dispositifs avant leur mise hors service et leur transfert. Deuxièmement, les organisations médicales qui exploitent ces technologies devraient mettre en œuvre des processus et des procédures (du berceau à la tombe) garantissant que les appareils sont correctement purgés de leurs données avant d'être mis hors service et vendus ou transférés à un tiers.

Les pompes à perfusion sont depuis longtemps une source de préoccupation pour les experts et les fournisseurs en cybersécurité qui ont passé plus d’une décennie à essayer d’améliorer leur sécurité. Le FBI a averti en septembre que les vulnérabilités des appareils laissaient la porte ouverte aux cyberattaques.

Shawn Surber, directeur principal et stratège en soins de santé de la société de cybersécurité Tanium, a déclaré que les établissements de santé « devraient être tout aussi disciplinés lorsqu'il s'agit d'éliminer des appareils qu'ils le sont avec du matériel biologique ».

"Des scénarios comme celui-ci ne sont que trop courants, car les pompes médicales et autres appareils périphériques sont souvent négligés en tant que vecteurs d'attaque", a-t-il déclaré. « L'exposition des informations d'identification et des clés du réseau sans fil interne pourrait facilement conduire un attaquant à obtenir un accès interne à un réseau et à exploiter d'autres appareils vulnérables sur ce réseau. À partir de là, l’attaquant pourrait facilement distribuer des logiciels malveillants ou des ransomwares, ou collecter et exfiltrer silencieusement des informations personnelles sur la santé [PHI].

Une attaque de ce type nécessiterait une grande proximité physique avec une cible mais, a déclaré Surber, pourrait être particulièrement dommageable « dans la mesure où l'attaquant serait en mesure d'exfiltrer les PHI sur son propre appareil, plutôt que de les envoyer via d'autres mécanismes plus susceptibles d'être interceptés ». par des solutions de sécurité réseau.

Plusieurs des fabricants de pompes à perfusion mentionnés dans le rapport de Rapid7 n'ont pas répondu aux demandes de commentaires.

Un porte-parole de Becton, Dickinson and Company – la société à l'origine de la marque de pompes à perfusion Alaris – a déclaré que les données présentes sur les systèmes BD Alaris sont « protégées par les contrôles présents au sein du système et par le respect des meilleures pratiques de sécurité de l'industrie en matière de contrôle d'accès, d'identification et d'autorisation ». , la sécurité du personnel et la protection physique des actifs.

Les problèmes documentés dans le rapport « ont déjà été partagés avec les clients de BD et sont corrigés ou atténués grâce à des contrôles compensatoires dans le dernier système de perfusion BD Alaris », a déclaré le porte-parole.

« Les données latentes sur les dispositifs médicaux existants qui n'ont pas été correctement mis hors service constituent un problème connu dans l'ensemble du secteur. BD a publié un bulletin de sécurité des produits sur les données résiduelles du système BD Alaris en 2016 pour attirer l'attention sur ce problème et fournir aux clients des recommandations pour protéger les données des patients.

PARTAGER