TLP White : Cette semaine, Hacking Healthcare revient sur l'annonce par l'Agence américaine de cybersécurité et de sécurité des infrastructures (« CISA ») d'une nouvelle stratégie visant à protéger les systèmes de contrôle industriel (« ICS ») dans les secteurs d'infrastructures critiques contre les cyberattaques. Ensuite, nous analysons les recherches récentes sur les menaces qui illustrent la rapidité avec laquelle des bases de données mal configurées dans des environnements cloud peuvent être trouvées et exploitées par des acteurs malveillants, mais pourquoi cela ne devrait pas dissuader les organisations de santé de les mettre en œuvre. Enfin, nous examinons un projet soutenu par la National Science Foundation (« NSF ») des États-Unis visant à sécuriser les données des patients liées à la recherche sur le COVID-19 et explorons ses implications.
Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).
Bon retour à Le piratage des soins de santé.
1. La CISA s’engage dans une nouvelle stratégie de sécurité ICS.
La semaine dernière, le directeur de la CISA, Chris Krebs, a annoncé une nouvelle stratégie visant à protéger les ICS des secteurs d’infrastructures critiques contre les cyberattaques.[1] La nouvelle stratégie met l’accent sur l’utilisation de l’analyse des données, l’amélioration de la formation et le déploiement de nouvelles solutions technologiques.[2] Krebs a expliqué : « Nous allons développer des capacités de données approfondies pour analyser et fournir des informations que la communauté pourra utiliser pour perturber la chaîne de destruction de l'ICS. »[3] L'annonce a été faite lors d'une réunion virtuelle du groupe de travail conjoint ICS (« ICSJWG »), qui est un effort public-privé de partage d'informations collaboratif centré sur la sécurisation et la réduction des risques pour les ICS.[4]
Ce n'est pas le seul développement récent sur la cybersécurité des ICS provenant de la CISA. Il y a un peu moins d'un mois, la CISA, le ministère de l'Énergie (« DOE ») et le Centre national de cybersécurité du Royaume-Uni (« NCSC ») ont publié un document conjoint intitulé Pratiques de cybersécurité recommandées pour les systèmes de contrôle industriels.[5] L'infographie de deux pages décrit de manière claire et succincte diverses considérations, risques, impacts et mesures proactives en matière de cybersécurité que les propriétaires et les exploitants d'ICS peuvent utiliser pour améliorer leur préparation en matière de cybersécurité.
Pour ceux qui ne sont pas familiers avec les ICS, il s’agit d’un terme général qui couvre une gamme de systèmes de contrôle que l’on trouve généralement dans les secteurs industriels et les infrastructures critiques. Comme le souligne le National Institute of Standards and Technology (« NIST ») des États-Unis, « ces systèmes de contrôle sont essentiels au fonctionnement des infrastructures critiques américaines qui sont souvent des systèmes hautement interconnectés et mutuellement dépendants. »[6] Dans le secteur de la santé, les ICS peuvent être trouvés dans divers processus de fabrication, chimiques et pharmaceutiques.
Analyse et action
* Adhésion H-ISAC requise *
2. À quelle vitesse les bases de données mal configurées sont-elles compromises ?
Il n’est pas rare de lire dans les médias des articles sur des chercheurs en sécurité qui découvrent des bases de données non sécurisées contenant des informations personnelles ou commerciales sensibles. Il faut souvent des jours, voire des semaines, aux chercheurs pour contacter les propriétaires de ces bases de données non sécurisées afin de les sécuriser. Si la plupart du temps, ces bases de données non sécurisées sont le résultat d’erreurs de configuration accidentelles, à quelle vitesse peuvent-elles être compromises par des acteurs malveillants si elles ne sont pas sécurisées ? Il s’avère que c’est très rapide, selon une étude de Comparitech.
Du 11 au 22 mai, Comparitech a construit une base de données factice sur un serveur cloud et l'a laissée sans sécurité. Comparitech souhaitait savoir exactement combien de temps il fallait pour corriger une erreur de configuration, par exemple, avant que des données sensibles ne soient consultées, volées ou modifiées.[7] Malgré l'immensité d'Internet et la possibilité qu'une base de données relativement indescriptible soit ignorée, Comparitech rapporte que la première demande non autorisée est survenue seulement 8 heures et 35 minutes après le déploiement de la fausse base de données.[8]
Au cours des 11 jours suivants, Comparitech a enregistré 175 demandes non autorisées provenant d'adresses IP dans de nombreux pays, dont les États-Unis, la Roumanie, la Chine et les Pays-Bas.[9] Il est à noter que la base de données n'a été initialement indexée sur les moteurs de recherche populaires comme Shodan qu'au 16th du mois de mai. Après avoir été indexée, la base de données a reçu le premier de ses records quotidiens de 22 demandes non autorisées dans la minute qui a suivi son inscription.[10] De plus, une semaine après la fin de l’enquête, la base de données a été attaquée, son contenu a été supprimé et une demande de rançon a été laissée.
Action et analyse
* Adhésion H-ISAC requise *
3. La NSF finance un outil pour aider à protéger les données des patients utilisées pour la recherche.
En temps normal, la vigilance du secteur de la santé en matière de protection des données des patients peut irriter ceux qui estiment que des protections de confidentialité et de sécurité inutilement strictes entravent leur capacité à mener des recherches médicales. À une époque où tout le monde s'empresse de souligner les pouvoirs transformateurs du big data, des ressources de cloud computing et de l'interopérabilité, des tensions existent entre les différentes parties prenantes impliquées dans le processus de recherche sur la manière de garantir que les données des patients soient traitées avec la confidentialité et la sécurité requises. Cette tension s'est accentuée pendant une pandémie mondiale où la mise à disposition accrue de données pour la recherche ou le partage pourrait potentiellement permettre des avancées significatives dans notre compréhension de la COVID-19.
Pour tenter de résoudre une partie de ce problème, la NSF a accordé une subvention de 200,000 XNUMX $ aux informaticiens de l'Université du Texas à Dallas et du Centre médical de l'Université Vanderbilt.[11] L’objectif est de créer « un outil logiciel open source pour aider les décideurs politiques et les prestataires de soins de santé à prendre [des décisions concernant la quantité d’informations que les prestataires de soins de santé peuvent divulguer aux chercheurs sans violer la confidentialité des patients] ».[12] L’équipe combinée de l’Université du Texas et de Vanderbilt « se concentre sur les risques d’identification d’un individu lorsque les données d’un patient sont divulguées à des fins de recherche » et s’efforce d’être plus exhaustive dans les caractéristiques évaluées que celles qui sont examinées avec les outils existants.[13]
Action et analyse
* Adhésion H-ISAC requise *
Congrès -
Mardi, juin 16ème:
– Aucune audience pertinente
Mercredi, juin 17th:
– Sénat – Comité de la santé, de l’éducation, du travail et des retraites : Audiences pour examiner la télésanté, en se concentrant sur les leçons tirées de la pandémie de COVID-19.
Jeudi, juin 18th:
– Sénat – Commission des relations étrangères : Audiences pour examiner la COVID-19 et la préparation, la prévention et la réponse aux pandémies internationales.
– Chambre – Comité permanent spécial sur le renseignement : Audition sur les tendances émergentes dans les opérations d’influence étrangère en ligne : les médias sociaux, la COVID-19 et la sécurité des élections
International Audiences/Réunions -
– Aucune audience pertinente
UE -
Conférences, webinaires et sommets -
— Tests et mesures de correction de posture pratiques pour une main-d'œuvre à distance par Safebreach – Webinaire (6/16/2020)
https://h-isac.org/hisacevents/safebreach-navi-webinar/
– Comment les attaques d’authentification menacent votre environnement de soins de santé par Qomplx – Webinaire (6/17/2020)
https://h-isac.org/hisacevents/authentication-attacks-qomplx/
– Table ronde CISO – Des temps sans précédent par Forescout – Webinaire (6/18/2020)
https://h-isac.org/hisacevents/ciso-roundtable-unprecedented-times-forescout/
–Insider Risk : équilibre entre technologie, comportement et données par Booz Allen Hamilton – webinaire (6/23/2020)
— Sécurisation de la menace IoT dans le secteur de la santé par Palo Alto Networks – Webinaire (6/24/2020)
https://h-isac.org/hisacevents/palo-alto-networks-navigator-webinar/
— GRF Summit Digital Series – L’exercice ultime de préparation aux interventions en cas d’incident : êtes-vous prêt à distance ? – Webinaire (6/25/2020)
Webinaire mensuel sur les menaces pour les membres de H-ISAC (6/30/2020)
https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-9/
–Forum sur la cybersécurité des soins de santé – Mid-Atlantic – Philadelphie, PA (7/17/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426497
–Forum sur la cybersécurité des soins de santé – Rocky Mountain – Denver, CO (7/20/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426499
– Atelier virtuel sur la sécurité H-ISAC – Virtuel (7/29/2020)
https://h-isac.org/hisacevents/nz-virtual-workshop/
–Forum sur la cybersécurité des soins de santé – Sud-Est – Nashville, TN (9/9/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517
–Forum sur la cybersécurité des soins de santé – Nord-Est – Boston, MA (9/22/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126
–Formation H-ISAC sur les cybermenaces – Titusville, FL (9/22/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/
– Atelier sur la sécurité H-ISAC – Forchheim, Allemagne
https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/
–Sommet sur la sécurité et les risques liés aux tiers – National Harbor, MD (9/28/2020-9/30/2020)
Série numérique du sommet GRF sur la sécurité et les risques liés aux tiers
–Forum sur la cybersécurité des soins de santé – Texas – Houston, TX (10/8/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840
–CYSEC 2020 – Dubrovnik, Croatie (10/27/2020 – 10/28/2020)
https://h-isac.org/hisacevents/cysec-2020-croatia/
–Atelier sur la sécurité H-ISAC – Mounds View, MN (10/27/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-buffalo-ny/
–Forum sur la cybersécurité des soins de santé – Pacifique Nord-Ouest – Seattle, WA (10/28/2020)
https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886
– Atelier sur la sécurité H-ISAC – Seattle, WA – (10/29/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/
–Forum sur la cybersécurité des soins de santé – Californie – Los Angeles, CA (11/12/2020)
– Atelier sur la sécurité H-ISAC – Paris, France (11/18/2020)
https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/
Divers –
– Le pillage des clés de chiffrement de la société ultra-sécurisée SGX met à nouveau Intel dans l’embarras
– Des pirates informatiques ont piraté A1 Telekom, le plus grand fournisseur d'accès Internet d'Autriche
https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/
– Une « perturbation » du réseau informatique oblige Honda à annuler une partie de sa production
https://www.cyberscoop.com/honda-ransomware-snake-ekans/
Contactez-nous : suivez @HealthISAC et envoyez un e-mail à contact@h-isac.org
[1] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[2] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[3] https://www.cyberscoop.com/dhs-cisa-industrial-control-system-security-strategy/
[4] https://www.us-cert.gov/ics/Industrial-Control-Systems-Joint-Working-Group-ICSJWG
[5]https://www.cisa.gov/sites/default/files/publications/Cybersecurity_Best_Practices_for_Industrial_Control_Systems.pdf
[6] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
[7] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[8] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[9] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[10] https://www.comparitech.com/blog/information-security/unsecured-database-honeypot/
[11] https://www.healthcareitnews.com/news/nsf-funds-software-safeguard-patient-data-during-covid-19-research
[12] https://www.utdallas.edu/news/science-technology/patient-privacy-covid-19-2020/
[13] https://www.utdallas.edu/news/science-technology/patient-privacy-covid-19-2020/
- Ressources et actualités connexes