En octobre dernier, l’experte en cybersécurité Alissa Knight a publié un livre blanc en partenariat avec le fournisseur de protection contre les menaces API Aproov explorant comment le dernier kilomètre des soins de santé reste vulnérable aux attaques.
Le rapport, intitulé “Playing With FHIR”, était “le plus grand dévoilement de vulnérabilités dans l’histoire du secteur de la santé depuis la mise en ligne du premier système de santé électronique dans les années 1960”, a déclaré Knight dans son discours d’ouverture au HIMSS Healthcare Cybersecurity Forum lundi. . (HIMSS est Actualités informatiques de la santé‘ maison mère.)
Et sa sortie, a-t-elle noté, a fait sensation.
“Bien qu’extrêmement controversé, [the white paper] était une pilule rouge bien nécessaire pour l’industrie de la santé sur le danger clair et présent de ce qui peut arriver lorsqu’une mise en œuvre de FHIR n’est pas correctement sécurisée », a-t-elle déclaré.
“Félicitations, c’est la toute dernière présentation de cette recherche”, a ajouté Knight avec un sourire, expliquant qu’elle était prête à passer à d’autres explorations. “‘Jouer avec FHIR’ a été plus d’un an de ma vie, et il est temps de clore le chapitre là-dessus.”
Pour le rapport, Knight a testé trois API FHIR de production, qui servaient un écosystème de 48 applications et API. Au total, l’écosystème couvrait les données agrégées des dossiers de santé électroniques de 25 000 fournisseurs et payeurs.
Le rapport de Knight, a-t-elle expliqué, a révélé que 4 millions de dossiers de patients et de cliniciens étaient accessibles à partir d’un seul compte de connexion de patient. De plus, 53 % des applications mobiles testées avaient des clés et des jetons d’API codés en dur, qui pouvaient être utilisés pour attaquer les API de DSE.
“Nous sommes en 2021, et nous travaillons toujours en dur … c’est un vrai problème, nous devons arrêter de le faire”, a-t-elle déclaré.
« S’il y a des développeurs dans le public : arrêtez le codage en dur des clés API et des jetons dans les applications, en particulier ceux qui vous donnent accès à une API comme seule authentification. » Elle a ajouté : “Si vous comptez le faire, masquez définitivement le code. Ne rendez pas les choses si faciles.”
Knight a également découvert que 100 % des API FHIR testées permettaient un accès API aux données de santé d’autres patients à l’aide des informations d’identification d’un patient. Et, a-t-elle dit, la moitié des agrégateurs de données cliniques n’ont pas mis en œuvre la segmentation de la base de données.
Alors, que peuvent faire les développeurs et les décideurs pour s’assurer que leurs implémentations d’API sont sécurisées ?
Knight a présenté quelques options :
- Piratez vos propres API et applications via des tests d’intrusion, avant que les mauvais acteurs ne le fassent
- Authentifier et autoriser le trafic
- Mettre en œuvre une architecture de confiance zéro et des protections « femme au milieu »
- Trouvez un outil de gestion des menaces d’API qui permet l’observabilité
- Empêcher le trafic généré par les outils
Knight a souligné l’importance de sécuriser les informations des patients, qui sont permanentes et à vie.
“Nous parlons des données des patients, qui valent 1 000 fois plus sur le dark web qu’un numéro de carte de crédit américain”, a-t-elle déclaré.
Kat Jercich est rédactrice en chef de Healthcare IT News.
Twitter: @kjercich
Courriel : [email protected]
Healthcare IT News est une publication de HIMSS Media.
