Contec Medical Systems, un fabricant chinois d’équipements médicaux, fournit ces dispositifs aux hôpitaux et aux cliniques des États-Unis, avec certains modèles rebaptisés et vendus sous d’autres noms, comme l’Epsimed MN-120. Selon les autorités américaines, le CMS8000 est vulnérable à une exploitation à distance, permettant à des utilisateurs non autorisés de prendre le contrôle de l’appareil et de modifier ses fonctions. De plus, il contient une porte dérobée cachée qui pourrait permettre aux attaquants d’infiltrer le réseau connecté. Plus inquiétant encore, lorsqu’il est connecté à Internet, l’appareil transmet automatiquement les données des patients, y compris les informations personnelles identifiables (PII) et les informations de santé protégées (PHI), vers des serveurs situés en Chine.
En l’absence de correctif de sécurité disponible, les organisations de santé sont appelées à prendre des mesures immédiates. Les autorités recommandent de déconnecter les dispositifs affectés d’Internet en débranchant les câbles Ethernet et en désactivant les connexions Wi-Fi ou cellulaires. Le CMS8000 devrait être utilisé exclusivement pour la surveillance en présentiel, et les prestataires de soins de santé nécessitant une surveillance à distance devraient envisager d’autres systèmes provenant de fabricants différents. De plus, il est conseillé aux organisations de mener des audits de sécurité internes afin d’évaluer les risques posés par d’autres dispositifs médicaux connectés à Internet et de renforcer les protocoles de cybersécurité pour éviter de futures violations.
Cette situation met en évidence les menaces croissantes en matière de cybersécurité qui affectent la technologie médicale. À mesure que les systèmes de santé deviennent de plus en plus numériques, la protection des données des patients et la sécurisation des dispositifs connectés en réseau doivent rester une priorité absolue afin d’empêcher tout accès non autorisé et d’éviter d’éventuelles perturbations dans les soins aux patients.
Source: JD Supra
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.