Tendances et lacunes dans les données révélées dans une nouvelle étude sur les attaques par ransomware dans le secteur de la santé
Des chercheurs affiliés à l'Université de Floride et à l'Université du Minnesota ont publié une étude académique sur les attaques par ransomware contre les établissements de santé. Les résultats révèlent l'évolution des caractéristiques de ces attaques sur une période de cinq ans, y compris pendant les mois où la pandémie battait son plein aux États-Unis. Cela révèle des tendances intéressantes et des lacunes dans notre compréhension de la problématique dans son ensemble. Il ne s'agit pas d'une lecture passionnante pour le grand public, mais elle peut intéresser les professionnels de la cybersécurité et des affaires.
Le rapport est intitulé « Trends in Ransomware Attacks on US Hospitals, Clinics, and Other Health Care Delivery Organizations, 2016-2021 » (Tendances des attaques par ransomware contre les hôpitaux, cliniques et autres centres de soins américains, 2016-2021). Il a été publié sur les forums de JAMA le 29 décembre 2022.
Défis de recherche
Dès le début de l'étude, les chercheurs se sont rendu compte qu'il n'existait aucune documentation systématique sur l'étendue et les effets des attaques par ransomware sur les prestataires de soins de santé. La couverture médiatique et la divulgation obligatoire des violations de données n'ont pas permis d'obtenir l'ensemble complet d'informations requises par l'étude. Pour répondre à la question de recherche, il faudrait constituer cet ensemble complet de données.
Les chercheurs ont relevé ce défi en créant une base de données d'informations provenant à la fois de sources exclusives et de sources accessibles au public, y compris le dark web. Cette ressource a été baptisée Tracking Healthcare Ransomware Events and Traits (THREAT) et toutes les données utilisées pour l'étude ont été incluses dans cette base de données.
Les chercheurs ont également défini les « établissements de soins de santé » au sens large, en y incluant des établissements tels que les laboratoires de diagnostic et les établissements de soins post-aigus. On entend par « attaque par ransomware » toute attaque identifiée comme un ransomware ou comportant des termes liés aux ransomwares dans les communiqués de presse ou les notifications de violation.
La base de données THREAT a finalement inclus 374 attaques par ransomware contre des établissements de soins de santé entre 2016 et 2021. Ces attaques ont exposé près de 42 millions de dossiers d'informations médicales protégées (PHI).
Résultats et éléments de discussion
Au cours des cinq années couvertes dans l'étude, le nombre annuel d'attaques de ransomware est passé de 43 à 91 et le nombre annuel de personnes touchées par des expositions d'informations de santé protégées est passé de 1,3 millions en 2016 à plus de 16,5 millions en 2021.
15,8 % des données exposées lors de ces attaques étaient disponibles à la vente sur le dark web. L'étude ne conclut pas qu'il s'agit des seules données disponibles à la vente. Les données ont pu être vendues ailleurs ou se trouver sur le « dark web » mais les chercheurs ne les ont pas trouvées.
Les cliniques et les hôpitaux ont le plus de probabilité d'être victimes d'une attaque par ransomware et cela s'est vérifié pour les 5 années de l'étude :
Attaques par ransomware, nombre (%) |
||
|
2016 |
2021 |
clinique |
26 (60,5) |
51 (56,0) |
hôpital |
13 (30,2) |
23 (25,3) |
Centre chirurgical ambulatoire |
8 (18,6) |
15 (16,5) |
Santé mentale/comportementale |
3 (7,0) |
18 (19,8) |
dentaire |
2 (4,7) |
12 (13,2) |
Maison de repos |
1 (2,3) |
4 (4,4) |
Autre |
8 (18,6) |
22 (24,2) |
(Source : Tableau 2, p.6)
Le nombre annuel d'attaques ayant touché plusieurs sites est passé de 41,9 % à 76,9 %. Les chercheurs pensent que cela pourrait être dû à la sophistication croissante des attaques par ransomware. La consolidation des établissements peut également être un facteur.
77,5 % de toutes les attaques figurant dans la base de données THREAT sont signalées comme des violations de PHI dans les rapports de violation de données de l'Office of Civil Rights (OCR), ce qui suggère que 22,5 % des attaques n'ont pas donné lieu à une violation de PHI. Cela peut signifier qu'aucune donnée n'a été exposée lors de ces attaques, ou que les données volées ne correspondaient pas aux classifications PHI ou HIPAA de l'OCR. Les chercheurs notent également qu'il pourrait y avoir une certaine confusion quant aux exigences de déclaration en ce qui concerne les attaques par ransomware.
54,3 % des violations de données personnelles signalées au HHS l'ont été après la date limite de signalement obligatoire (figure 3b, p. 6). Les retards de signalement ont augmenté au cours de la pandémie (États-Unis), alors que les organismes de santé étaient particulièrement préoccupés par le COVID-19 et que le nombre de cyberattaques qui en a découlé a augmenté. L'étude ne s'est pas intéressée au moment où les personnes concernées ont été informées de la violation de leurs données. Il faut également noter qu'il n'y a pas d'amende en cas de retard de signalement.
44 % des attaques ont entraîné des conséquences sur les prestations de soins, telles que des pannes de système (41,7 %), des retards ou des annulations de soins programmés (10,3 %) et des détournements d'ambulances (4,3 %). Il est logique que les interruptions de service du système soient en tête de liste, puisque c'est le système lui-même qui est attaqué et compromis. Les établissements de santé ont adopté des systèmes numériques rapidement au cours des dernières années et, en cas de panne du système, le personnel a recours à des dossiers papier et à des procédures de sauvegarde. Cela peut alimenter les autres constatations concernant les soins programmés et les détournements d'ambulance.
8,6 % des interruptions dans les soins ont duré plus de deux semaines.
Perturbations opérationnelles |
|
|
|
Nombre d’attaques (sur 374) |
Part des attaques, en pourcentage |
Perturbation des prestations de soins |
166 |
44,4 |
Durée des perturbations, moyenne |
15,8 jours |
NA |
Perturbation connue avec une durée inconnue |
67 |
17,9 |
<1 semaine |
39 |
17,9 |
1 à 2 semaines |
28 |
7,5 |
2 à 4 semaines |
16 |
4,3 |
>4 semaines |
16 |
4,3 |
(Source : Tableau 1, p.5)
La capacité à restaurer des données chiffrées ou volées à partir de sauvegardes a diminué au fil du temps, passant de 34,9 % de récupérations réussies en 2016 à 14,4 % en 2021. Sur les 374 attaques répertoriées dans la base de données THREAT, seules 77 (20,6 %) des victimes ont pu compter sur leurs propres systèmes de sauvegarde des données pour récupérer leurs données. Ces entreprises n'ont pas eu besoin d'une clé de déchiffrement pour récupérer les données chiffrées.
La baisse du nombre de récupérations réussies peut résulter de plusieurs facteurs. Cela n'est pas abordé en détail dans le rapport, mais nous pouvons émettre quelques idées :
- Les ransomwares sont de plus en plus sophistiqués. Les attaques visant les systèmes de backup peuvent empêcher la récupération des données. Les systèmes de backup doivent être spécifiquement conçus pour résister aux attaques par ransomware, ou ils sont tout aussi vulnérables que n'importe quel autre système.
- La transformation digitale a créé de nouvelles informations dans de nouveaux lieux de stockage. Cela crée une prolifération de données et les administrateurs ne connaissent pas tous les emplacements des données critiques. L'étude a montré que bien que le nombre d'attaques ait doublé en 5 ans, l'exposition des données personnelles de santé a elle, été multipliée par 11. Les attaques touchant plusieurs sites ont également augmenté de 35 %. Il est possible que les sauvegardes de données n'aient tout simplement pas été à jour, en raison de la transformation digitale en cours dans ces établissements.
- La pandémie a provoqué une augmentation soudaine du nombre de dossiers médicaux. La demande de soins était si importante que les établissements de soins ont été restructurés (ou créés) pour gérer le trop-plein des hôpitaux et des cliniques. Il est possible que les équipes informatiques, en sous-effectif, se soient occupées des besoins les plus urgents et n'aient pas cherché à mettre en place des systèmes de sauvegarde suffisamment tôt.
Conclusions
Les chercheurs soulignent que les attaques par ransomware dans le secteur de la santé ne sont pas toutes déclarées et qu'il existe trop de facteurs inconnus autour des types de perturbations et des raisons pour l'absence (22,5 %) ou le retard (53,5 %) dans le signalement à l'OCR. Les détails concernant les perturbations opérationnelles devraient être inclus dans le suivi, et des dossiers tels que les données relatives aux demandes de remboursement de l'assurance-maladie pourraient être utiles. La création d'un système complet de reporting et de suivi aidera les législateurs qui souhaitent renforcer le recueil de données sur toutes les cyberattaques afin de créer des réponses éclairées sous forme de politiques.
Cette étude a ses limites, notamment un manque d'informations sur les types de malwares utilisés, les tentatives d'attaques n'ayant pas abouti ou les effets de la structure du marché des établissements concernés. L'inconnue majeure est la façon dont les perturbations causées par les ransomwares affectent les patients qui ont besoin de soins au moment d'une attaque.
Cette étude couvre bien d'autres enseignements, que nous n'avons pas pu traiter ici. Le rapport de 11 pages est disponible dans les forums de santé du JAMA (Journal of the American Medical Association).
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
