Une employée du centre médical de l'Université du Vermont a accidentellement ouvert un fichier envoyé par e-mail de son association de propriétaires, qui avait été piraté, en octobre 2020.
Cette erreur a finalement conduit le réseau de santé de l'Université du Vermont, qui comprend le plus grand hôpital de l'État à Burlington, à devoir annuler des chirurgies, reporter des rendez-vous de mammographie et retarder les traitements de certains patients atteints de cancer.
L'attaque de ransomware qui a suivi a forcé les responsables à fermer toutes les connexions Internet, y compris l'accès aux dossiers de santé électroniques des patients, pour empêcher les cybercriminels de faire plus de dégâts.
"Tout était en panne. Donc, nos téléphones étaient en panne. Nous n'avions plus de télécopieurs. … Vous ne pouviez pas utiliser le courrier électronique pour communiquer », a déclaré le Dr Stephen Leffler, président et chef de l'exploitation du système, à propos de l'attaque dans un récent podcast de l'American Hospital Association. "Ce premier soir, nous avons en fait envoyé des gens chez Best Buy pour acheter des talkies-walkies."
Au cours des dernières années, un nombre croissant d'hôpitaux et d'organisations de soins de santé à travers les États-Unis ont été confrontés à des cyberattaques, interrompant les soins et mettant les patients en danger. Cela inclut certains établissements de santé publics gérés par des gouvernements d'État ou locaux.
"Les hôpitaux ont été durement touchés par des attaques de rançongiciels à fort impact pendant la pandémie", a déclaré John Riggi, conseiller national pour la cybersécurité et les risques à l'American Hospital Association.
Riggi a noté que pendant la pandémie, les hôpitaux ont dû étendre rapidement les technologies de réseau et connectées à Internet et déployer des systèmes à distance pour soutenir les membres du personnel qui sont passés au télétravail.
"Les méchants en ont profité et ont eu plus d'occasions d'entrer dans nos réseaux", a-t-il déclaré.
Les attaques de ransomwares ont forcé certains hôpitaux à interrompre la chimiothérapie, à retarder la communication des résultats de laboratoire et à reporter les rendez-vous des patientes en maternité.
Certains ont dû détourner des ambulances parce que leurs salles d'urgence ne pouvaient pas accepter de nouveaux patients.
"Nous l'avons constaté lors de multiples attaques de rançongiciels, en particulier dans les petits hôpitaux", a déclaré Riggi. "Le prochain service d'urgence pourrait être à 125 miles."
Le mois dernier, le département américain de la Santé et des Services sociaux a émis un avertissement concernant un gang de rançongiciels agressif qui attaque les organisations de soins de santé. Parmi ses victimes : un réseau d'hôpitaux et de cliniques de l'Ohio et de la Virginie-Occidentale qui a dû annuler des chirurgies et détourner les patients en urgence vers d'autres établissements.
Et avec la menace accrue des cyberattaques russes contre les États-Unis après l'invasion de l'Ukraine, les systèmes de santé sont encore plus vulnérables car ils sont considérés comme des infrastructures critiques, selon les experts.
"Nous n'avons connaissance d'aucune menace directe crédible et spécifique contre les hôpitaux et les systèmes de santé américains", a déclaré Riggi. « Mais nous craignons qu'ils ne deviennent des dommages collatéraux lors d'attaques lancées par la Russie. Ou que des gangs russophones lanceront des attaques de représailles contre l'Occident.
En février, l'agence américaine pour la cybersécurité et la sécurité des infrastructures a publié un avertissement « Shield Up » concernant la cybermenace russe croissante pour les entreprises.
Les rançongiciels détournent les systèmes informatiques et les retiennent en otage jusqu'à ce que les victimes paient une rançon ou restaurent le système par elles-mêmes. Il se propage généralement par hameçonnage, dans lequel les pirates envoient par e-mail des liens ou des pièces jointes malveillants et les gens cliquent involontairement dessus, libérant des logiciels malveillants.
En 2020 et 2021, il y a eu au moins 168 attaques de ransomwares affectant 1 763 cliniques, hôpitaux et organisations de soins de santé aux États-Unis, selon Brett Callow, analyste des menaces pour la société de cybersécurité Emsisoft.
Une enquête menée en novembre auprès de 132 responsables du secteur de la santé, la plupart aux États-Unis, a révélé que les ransomwares étaient la menace n° 1 pour la cybersécurité, plus que les violations de données ou les menaces internes, selon le Health Information Sharing and Analysis Center, une organisation mondiale à but non lucratif. groupe de partage de cybermenaces pour le secteur de la santé.
"Le passage des dossiers de santé papier aux dossiers de santé électroniques a rendu les informations sur la santé des patients plus accessibles, cependant, ces dossiers sont plus vulnérables aux attaques et sont extrêmement lucratifs", note le rapport. Il a déclaré que les pirates peuvent exiger 50 $ pour un dossier médical partiel, contre 1 $ pour un numéro de sécurité sociale ou de carte de crédit volé.
Historiquement, le secteur de la santé a rattrapé son retard en matière de cybersécurité, selon Errol Weiss, directeur de la sécurité du groupe de partage d'informations sur la santé.
"L'accent était mis sur la conformité [aux exigences fédérales liées à] la confidentialité des données des patients, et non sur la cybersécurité", a déclaré Weiss. "Malheureusement, de nombreuses organisations de soins de santé ne sont pas aussi bonnes qu'elles auraient dû l'être et ont été des proies faciles."
La pandémie a aggravé les choses car les hôpitaux étaient en surcapacité et étaient occupés à traiter des patients gravement malades atteints de COVID-19.
"Ce fut la tempête parfaite, entre les ransomwares, toute la surcapacité, les gens épuisés et la vulnérabilité des systèmes", a déclaré Weiss.
Certains cybercriminels ciblent délibérément les organisations de soins de santé ; d'autres attaques sont des campagnes de phishing massives qui accrochent un membre du personnel ou un sous-traitant et introduisent des logiciels malveillants dans le réseau, comme l'attaque du centre médical de l'Université du Vermont.
Les attaquants ont fini par crypter les 1 300 serveurs de l'hôpital et déposer des logiciels malveillants sur 5 000 appareils, a déclaré le Dr Doug Gentile, vice-président directeur des technologies de l'information au réseau de santé de l'Université du Vermont.
Le réseau de santé électronique se trouvait sur une partie distincte du réseau, mais l'équipe l'a supprimé de manière proactive à l'hôpital principal et dans les cliniques ambulatoires de trois autres hôpitaux pour éviter qu'ils ne soient attaqués, selon Gentile.
Les responsables n'ont jamais contacté les cybercriminels ni payé de rançon, a-t-il déclaré, et aucune donnée de patient n'a été compromise.
Alors que l'hôpital disposait d'un bon système de sauvegarde informatique, il a quand même fallu 28 jours pour reconstruire l'infrastructure et sauvegarder les dossiers de santé électroniques, a déclaré Gentile. Il a fallu plusieurs mois pour restaurer l'ensemble du système.
Pendant près d'un mois, les médecins et les infirmières ont dû tout faire sur papier.
"Nous venions de passer une décennie à supprimer le papier de notre système", a déclaré Gentile. « Soudain, nous avions du papier partout. Nous avons dû acheter des classeurs.
Pour les jeunes médecins, c'était une expérience d'apprentissage.
"La plupart d'entre eux n'avaient jamais écrit d'ordres sur papier auparavant", a-t-il déclaré. «Nous avions des gens qui se promenaient dans les étages pour aider ces gens à rédiger des ordonnances sur papier parce que les nouveaux médecins ne savaient pas comment faire cela.»
Un autre problème : le personnel n'a pas pu accéder aux horaires de la clinique pour les patients, alors pendant plusieurs jours, ils ne savaient pas qui devait venir ni quand.
La cyberattaque a coûté environ 54 millions de dollars au système hospitalier du Vermont, y compris la reconstruction du réseau informatique et la perte de revenus, ont déclaré des responsables.
Depuis l'attaque, ils ont renforcé la protection avancée par pare-feu et les logiciels antivirus et bloqué l'accès aux e-mails personnels sur les ordinateurs professionnels, a déclaré Gentile. Ils envoient également régulièrement des e-mails de phishing aux membres du personnel à titre de test.
"C'est une guerre des armes en cours. Les groupes qui commettent ces attaques sont très sophistiqués, très corporatistes », a-t-il déclaré. "Nous sommes toujours en alerte maximale, essayant de renforcer nos défenses contre une autre attaque."
Cet article a été publié pour la première fois sur Stateline, une initiative de The Pew Charitable Trusts.