Les cyberattaques contre les hôpitaux contrecarrent les efforts de l’Inde pour numériser les soins de santé

Fin novembre, alors qu’une épaisse couche de smog s’est déposée sur le All India Institute of Medical Sciences à New Delhi, les patients ont commencé à subir des temps d’attente prolongés. De longues files serpentaient le long du vaste bâtiment et reculaient sur plusieurs mètres.

Les ordinateurs de l’hôpital avaient cessé de fonctionner, de sorte que les rapports médicaux ne pouvaient pas être générés. Bien que les patients soient toujours traités, des factures papier sont distribuées. Au bout de quelques jours, les personnes qui craignaient que le voyage de retour ne coûte trop cher ont commencé à dormir sous un viaduc à proximité pour attendre.

Une cyberattaque massive avait compromis les données de santé de millions de patients, de ceux qui vivent dans l’extrême pauvreté aux politiciens, bureaucrates et juges de haut niveau.

La police de Delhi avait un plus gros problème à portée de main. Ils étaient en possession d’un e-mail qui disait : « Que s’est-il passé ? Vos fichiers sont cryptés ? Quel est le prix de la réparation ? Le prix dépend de la rapidité avec laquelle vous pouvez nous payer », signalé sources d’information.

La police de Delhi a d’abord refusé rapports d’une demande de rançon. Mais ils ont confirmé plus tard que les serveurs de l’AIIMS avaient été attaqués et que les données étaient détenues contre rançon. Des sources policières auraient déclaré que l’attaque originaire de Chine et de Hong Kong.

Deux semaines plus tard, les serveurs d’AIIMS ne sont que maintenant claudication retour à la normale.

Un identifiant de santé numérique pour chaque Indien

Les experts en cybersécurité expriment des préoccupations plus importantes.

Parce que l’Inde ne dispose pas de systèmes de cybersécurité robustes ou de lois strictes sur la protection des données, la violation a rendu les observateurs inquiets quant au plan ambitieux du Premier ministre Narendra Modi de numériser les dossiers de santé de tous les Indiens.

En 2020, la plupart des gens dans le monde entendaient parler du COVID-19. Les Indiens ont été contraints à un verrouillage soudain, et personne ne savait quand les vaccins ou un semblant de vie normale reviendraient.

Dans ce contexte, Modi a annoncé que chaque Indien obtiendrait une carte d’identité médicale sous le Mission nationale de santé numérique: “Chaque test, chaque maladie, ce que les médecins ont prescrit et quand, vos rapports seront sur un seul identifiant de santé.”

Ces dossiers de santé ne peuvent être consultés par les professionnels de la santé qu’après le consentement éclairé du titulaire de la carte d’identité, a précisé Modi.

Les experts en cybersécurité doutent de l’obtention d’un consentement éclairé car ce concept est relativement nouveau dans le pays. “Les citoyens contraints d’obtenir une carte d’identité médicale et de numériser leurs dossiers de santé sans les bonnes garanties les rendent vulnérables”, déclare Srinivas Kodali, expert en technologie et chercheur à Mouvement du logiciel libre en Inde. “Avec des plans de partage omniprésent des dossiers de santé entre les hôpitaux, les médecins, les agences d’assurance et les entreprises de technologie de la santé, les données de santé des Indiens devraient être plus sujettes aux fuites, aux violations de données et à l’exploitation”, ajoute-t-il.

Plus de 170 000 hôpitaux à travers le pays se sont déjà inscrits à la National Digital Health Mission. L’inscription est obligatoire pour les hôpitaux publics.

Juste en face de l’AIIMSest un autre immense hôpital géré par le gouvernement, où des milliers de personnes font la queue pour se faire soigner. À peu près au même moment où l’AIIMS a signalé l’attaque du rançongiciel, l’hôpital Safdarjung a également signalé une cyberattaque qui a paralysé ses serveurs pendant une journée. Les données n’ont pas été violées et les serveurs ont été restaurés rapidement.

Actuellement, la sécurité des données d’un patient dépendra de la sécurité des serveurs de l’hôpital. Dans le cadre de la Mission nationale de santé numérique, tous les hôpitaux seront responsables du stockage et de la protection des données des patients qu’ils collectent. Les patients de Safdarjung ont simplement eu de la chance que leurs données n’aient pas été piratées.

Kodali dit que s’il existe un plan pour avoir un identifiant de santé national unique, alors la cybersécurité de ces quantités massives de données devrait être la responsabilité du gouvernement. “S’attendre à ce que les hôpitaux s’occupent de leur propre cybersécurité, c’est comme demander à un professionnel de l’informatique de s’opérer médicalement”, dit-il.

Dans un 2022 papier blancla société d’intelligence artificielle CloudSEK a déclaré que les cyberattaques contre l’industrie mondiale des soins de santé avaient augmenté de plus de 95 % par rapport à l’année dernière. Les attaques ont principalement eu lieu sur des systèmes aux États-Unis, suivis par l’Inde.

Les cybermenaces se profilent

Les observateurs mettent en garde contre la numérisation à grande échelle avant que les vérifications nécessaires ne soient en place. “Dans les grands systèmes, la numérisation peut apporter des gains d’efficacité, mais elle crée également la possibilité de perturber les flux d’informations avec des impacts en cascade pour la société”, déclare Anita Gurumurthy, directrice de l’association à but non lucratif L’informatique pour le changementqui travaille sur la politique technologique et les droits de l’homme.

Les autorités indiennes conviennent que le pays est confronté à des cybermenaces croissantes. L’équipe indienne d’intervention d’urgence informatique (CERT-IN), l’organisme national de surveillance de la cybersécurité, a noté une augmentation de 51 % du nombre d’attaques de ransomwares, y compris sur des infrastructures critiques, par rapport à l’année précédente.

En l’absence d’un projet de loi sur la protection des données personnelles, ainsi que d’une loi régissant l’écosystème de la santé numérique, dit Gurumurthy, le système réglementaire n’est pas propice au maintien de grands ensembles de données.

En outre, le manque de sensibilisation des utilisateurs aux cyberrisques et l’utilisation d’anciennes technologies héritées contribuent à la vulnérabilité, selon à Rajeswari Pillai Rajagopalan, directeur du Centre pour la sécurité, la stratégie et la technologie (CSST) du groupe de réflexion Fondation de recherche d’observateurs. “L’Inde doit également étudier l’évolution des tactiques, des techniques et des procédures [TTPs] des hackers et des criminels pour pouvoir empêcher ces attaques. L’Inde paiera un lourd tribut si elle est considérée comme une cible facile.”

Droits d’auteur 2022 NPR. Pour en savoir plus, visitez https://www.npr.org.

Leave a Comment