Publié le

Cybersécurité et soins de santé

NICK EICHER, HÔTE : Nous sommes le mardi 19 mars 2024. Nous sommes WORLD Radio et nous vous remercions de votre écoute. Bonjour, je m'appelle Nick Eicher.

MARY REICHARD, HÔTE : Et je m'appelle Mary Reichard. Tout d'abord sur Le monde et tout ce qu'il contient: cyber-attaques.

Le mois dernier, des cyber-voleurs ont pénétré par effraction dans les systèmes de Change Healthcare, le plus grand système de paiement médical du pays. Les voleurs ont volé d’énormes quantités de données et ont exigé le paiement de rançons en crypto-monnaies.

Change Healthcare et sa société mère UnitedHealth Group n'ont pas confirmé avoir payé la rançon, mais ils ont débranché leurs propres serveurs pour éviter davantage de pertes.

EICHER : Cela a fonctionné, mais cela signifiait également que les pharmacies, les hôpitaux et autres entités médicales à travers le pays ne pouvaient pas traiter les réclamations d'assurance, et pas seulement pendant quelques heures. Cela a duré des semaines, mettant en danger les patients et les prestataires.

UnitedHealth affirme avoir introduit le traitement des réclamations pour pharmacies de retour en ligne plus tôt ce mois-ci. Et cette semaine prévoit de reconnecter son médical traitement des réclamations.

Mais que faut-il faire pour dissuader des attaques comme celle-ci ?

REICHARD : Le contre-amiral à la retraite Mark Montgomery se joint à nous maintenant pour en parler. Il dirige le Centre sur l'innovation cybernétique et technologique pour la Fondation pour la défense des démocraties. Amiral, bonjour !

MARK MONTGOMERY : Bonjour et merci de m'avoir invité aujourd'hui.

REICHARD : Que savons-nous de « BlackCat », le groupe qui a revendiqué la responsabilité de l'attaque des systèmes de Change Healthcare ?

MONTGOMERY : Bien sûr, Black Cat est donc un fournisseur de ransomware-as-a-service. Comme beaucoup d’entre eux, ils sont d’origine russe. Il remonte à DarkSide, le fournisseur de ransomware-as-a-service qui a mené les attaques de Colonial Pipeline. Ces types sont donc sur notre radar depuis trois ou quatre ans maintenant. Et évidemment, c'est un joli, c'est leur événement de ransomware le plus important et le plus réussi en termes d'impact, sous le nom de Black Cat.

REICHARD : Eh bien, pourquoi s’en prendre à une entreprise de soins de santé ?

MONTGOMERY : Eh bien, c'est intéressant, vous savez, ce qui s'est passé, vous savez, si vous remontez il y a 30 ans, des cyberactivités malveillantes sont menées contre les banques, car c'est là que se trouvait l'argent. Mais ce qui s'est produit depuis, c'est que la monétisation des données signifie que les ransomwares frappent là où les opérations commerciales ou les opérations sur le terrain peuvent être le plus rapidement touchées. Eh bien, le secteur de la santé rassemble tout cela en un seul, n'est-ce pas ? Là, vous pouvez vous attaquer à leurs opérations commerciales, les empêcher de faire la facturation, vous pouvez vous rendre sur les opérations sur le terrain, où vous empêchez le partage des résultats d'IRM ou leur transfert au bloc opératoire, des choses comme ça. Ou vous pouvez rechercher toutes ces données personnelles. Et ce sont les données les plus sensibles. Et d’ailleurs, les données médicales valent bien plus à la vente sur le dark web que, par exemple, les données de cartes de crédit. En réalité, le secteur de la santé est aujourd’hui le point zéro des ransomwares et des attaques de cybersécurité contre nos infrastructures critiques nationales.

REICHARD : Deux questions : de quelles options disposent les entreprises en cas d'attaques de ransomware ? Et deuxièmement, quelle est votre évaluation de la manière dont Change Healthcare y a répondu ?

MONTGOMERY : Eh bien, écoutez, je veux dire, votre première option est celle que vous prenez avant l'événement ransomware, et c'est là que vous dépensez suffisamment d'argent en cybersécurité. Quelqu'un comme Change, qui est vraiment une entité d'importance systémique, en d'autres termes, l'une des quatre ou 500 plus grandes entreprises du pays, qui, vous savez, doit maintenir un niveau plus élevé de cybersécurité, n'a évidemment pas réussi ce grand test. dans cet événement. Et écoutez, je vais être honnête, si vous m'aviez demandé de lister les entités d'importance systémique il y a deux mois, Change Healthcare n'aurait pas figuré sur ma liste. Désormais, une fois que cela se produit, ce sont les entreprises individuelles qui en sont affectées. Vous savez, certaines de ces pharmacies, petits bureaux, établissements de santé et maisons de retraite ont dû licencier ou suspendre leurs activités. Il s’agit d’un événement de santé important pour les États-Unis, car cette entité d’importance systémique n’a pas pu se protéger.

REICHARD : Alors, amiral, ces attaques sont-elles des problèmes pour le secteur privé, qui doivent être résolues par des solutions du secteur privé, ou le gouvernement fédéral a-t-il un rôle à jouer ? … Selon vous, que doit-il se passer ?

MONTGOMERY : C'est une excellente question de savoir à qui revient cette responsabilité, car j'ai beaucoup parlé du secteur privé. Mais soyons clairs, le gouvernement a un rôle à jouer dans cette affaire. HHS, Health and Human Services, l'agence fédérale, est appelée agence de gestion des risques sectoriels. Ils sont censés fournir un très bon soutien au secteur de la santé en termes de, vous savez, quel type, quelles choses rechercher pour les meilleures pratiques, mais au-delà de cela, des informations sensibles sur ce qui se passe. Et le HHS ressemble à beaucoup de nos agences de gestion des risques sectoriels dans la mesure où il est sous-performant. Vous savez, il y a beaucoup à faire et nous pouvons y investir beaucoup plus. Le président vient d’annoncer le budget pour l’exercice 25. Maintenant, il a annoncé une augmentation considérable, vous savez, dans les secteurs de la santé et des services sociaux. Mais quand je regarde, en approfondissant les détails, c'est comme l'argent futur en 2027, et vous savez, c'est dans quatre ou cinq ans. Ce qui doit vraiment se produire maintenant, c'est que le Congrès doit s'emparer des budgets fédéraux, puis de celui du HHS, augmenter leurs investissements et leurs performances en tant qu'agence de gestion des risques sectoriels, afin qu'ils puissent faire un meilleur travail en soutenant le secteur privé, alors quand le secteur privé dépense le bon montant, il le fait au bon endroit.

REICHARD : Pensez-vous que le plan B devrait être des systèmes papier comme nous en avions auparavant ?

MONTGOMERY : Donc, en fait, je pense que le plan B consiste à faire preuve de résilience. Le papier serait une option. Je pense que l'option que je choisirais au préalable est une option coûteuse appelée redondance, dans laquelle je construis des réseaux de serveurs séparés et des éléments qui exécutent et reflètent le réseau principal toutes les 6, 12, 24 heures, peu importe ce qu'il est, et vous le remettez en ligne. si vous perdez le principal à cause d'un ransomware. Mais une chose encore meilleure serait si nous développions un meilleur logiciel de récupération, dans lequel un système logiciel s'exécute constamment à l'intérieur et dit, voici à quoi ressemblait le « droit » juste avant l'attaque, afin que vous puissiez vous remettre dans une bonne position.

REICHARD : Dernière question ici. Et c’est en quelque sorte une question ouverte. Selon vous, y a-t-il un aspect de cette histoire qui mérite plus d’attention qu’il n’en reçoit ?

MONTGOMERY : Vous savez, c'est le véritable impact sur les soins de santé en milieu rural, n'est-ce pas ? Nous pensons beaucoup aux services de santé, vous pensez aux grands hôpitaux du centre-ville et je comprends. Mais les soins de santé en milieu rural, presque par définition, s'étendent sur une distance de 60 à 100 milles entre les hôpitaux, de sorte que lorsqu'un hôpital est gravement touché par un cyberincident et qu'il ne peut plus fournir de services, une ambulance doit désormais parcourir peut-être 100 ou 70 milles. C'est une condition potentiellement mortelle pour la personne dans cette ambulance. Ce qui m'inquiète le plus, vous savez, c'est l'impact qu'ont ce genre d'événements. Nous sommes passés de 7 000 hôpitaux et cliniques en Amérique à 6 000 au cours des six ou sept dernières années. Beaucoup de ces entreprises rurales fonctionnent avec des marges très serrées, cette cybersécurité est juste suffisante pour faire basculer nombre d’entre elles dans le rouge et les amener à fermer leurs portes. Nous ne pouvons pas permettre que cela se produise dans notre écosystème de soins de santé rural et très fragile.

REICHARD : Le contre-amiral Mark Montgomery dirige le Centre sur l'innovation cybernétique et technologique pour la Fondation pour la défense des démocraties. Merci beaucoup. Appréciez votre temps.

MONTGOMERY : Merci de m'avoir invité.