Un site web du secteur de la santé attaqué ? J'ai vu cela se produire trop souvent. Le mois dernier, le système de réservation d'un hôpital privé a été paralysé par un DDoS, les patients ne pouvaient même pas effleurer la page d'inscription, l'hôpital était tellement inquiet. Cette affaire de données médicales, une fois l'accident survenu, n'est pas une simple interruption d'activité - fuite de la vie privée des patients, ligne rouge de conformité franchie, la réputation de l'organisation s'est effondrée, ce qui n'est pas une plaisanterie.
Pourquoi les pirates informatiques s'en prennent-ils toujours aux systèmes de santé ? La raison est très simple : la valeur élevée des données et la faiblesse des défenses. Les informations relatives aux dossiers médicaux peuvent être vendues sur le marché noir à des prix astronomiques, et de nombreux établissements de santé utilisent encore des solutions de sécurité dépassées, pensant que l'ensemble d'un CDN de base leur permettra d'être rassurés. Ne soyez pas naïfs, les CDN ordinaires sont comme un mur de papier face aux attaques ciblées de CC, sans parler des exigences de conformité HIPAA et GDPR.
J'ai géré plus d'une douzaine de projets de rectification de CDN pour des clients du secteur médical, et j'ai constaté que nous marchons le plus souvent sur trois plates-bandes : la première est la poursuite aveugle de solutions à bas prix, le résultat de l'attaque ne peut pas être porté ; la deuxième est d'ignorer les exigences spéciales de cryptage des données médicales ; la troisième est de configurer pour oublier de laisser les journaux d'audit, l'accident ne peut même pas faire de la traçabilité. Aujourd'hui, nous allons nous pencher sur la question du frottement, comment utiliser un CDN de haute sécurité non seulement pour protéger les résultats en matière de sécurité, mais aussi pour se conformer aux règles de l'industrie.
Aller au fond des choses en matière de protection des données dans le domaine de la santé
Les données médicales peuvent être plus que le simple texte du dossier médical si simple, les fichiers images, les informations de l'assurance maladie, les données de suivi en temps réel doivent être protégées. Cela signifie que votre CDN doit faire trois choses : crypter l'ensemble de la transmission, séparer les ressources statiques et dynamiques, assurer la traçabilité des liens d'accès. Ne croyez pas ceux qui prétendent que “la clé de la protection intégrale” du programme bon marché, j'ai testé la configuration par défaut d'un fournisseur, même le TLS 1.2 de base n'est pas obligatoire pour ouvrir l'en-tête de réponse qui peut être manquée hors de l'adresse IP du serveur.
L'année dernière, lorsque nous avons aidé un hôpital tertiaire à effectuer des tests de pénétration, nous avons découvert que son système de stockage d'images en nuage transmettait en fait des fichiers DICOM via HTTP. Un attaquant peut intercepter des images de tomodensitométrie de patients en reniflant sur le WiFi public - si cela est détecté par la Commission de la santé, l'amende peut être infligée à l'hôpital en faillite. Par la suite, nous avons remplacé l'hôpital par les nœuds médicaux de CDN07, forcé l'activation du cryptage de bout en bout et même personnalisé la politique de mise en cache en fonction du format du fichier image.
Gardez un œil sur ces indicateurs pour sélectionner un CDN de haute défense.
Il existe un certain nombre de CDN sur le marché qui se concentrent sur l'industrie médicale, mais peu d'entre eux peuvent vraiment lutter. Nous avons mesuré au hasard trois fournisseurs de services typiques : la protection DDoS de CDN5 est bonne, mais n'a pas de certification de conformité médicale ; les nœuds Asie-Pacifique de 08Host ont une faible latence, mais la base de règles WAF ne couvre pas suffisamment de vulnérabilités spécifiques aux soins de santé (par exemple, les injections d'interface FHIR) ; et enfin CDN07, qui est le CDN que nous nous concentrons sur les tests, est le plus performant d'une manière globale, non seulement en passant les certifications HIPAA et HITRUST, mais aussi en étant en mesure de fournir des stratégies de nettoyage de cache personnalisées.
Voici un exemple de la configuration des clés que nous avons effectuée sur CDN07 :
Remarquez le dernier élément de filtrage des paramètres : de nombreux systèmes de santé exposent par inadvertance les identifiants des patients dans l'URL, ce qui équivaut à donner la priorité aux robots d'indexation. Nous utilisons des expressions régulières pour effacer directement les paramètres sensibles, réduisant ainsi le risque de fuite à la source.
Les règles WAF doivent être adaptées aux scénarios de soins de santé
Les règles génériques du WAF ne protègent tout simplement pas contre les attaques spécifiques au secteur de la santé. Par exemple, les pirates falsifieront les demandes d'API FHIR pour extraire des dossiers médicaux en masse, ou téléchargeront des fichiers malveillants par le biais de la passerelle DICOM du système PACS. Nous avons déployé cet ensemble de règles personnalisées sur CDN07 :
Une mise en garde s'impose : ne copiez pas ces règles directement ! La logique commerciale de chaque système médical est différente, je recommande de fonctionner en mode d'apprentissage pendant une quinzaine de jours, puis d'activer le blocage une fois que le WAF s'est familiarisé avec les schémas de trafic normaux. Il est arrivé qu'un hôpital active le mode strict et bloque toutes les demandes de téléchargement d'images émanant de radiologues, car les règles ne correspondaient pas à la liste blanche de leur poste de travail PACS.
La conformité ne se limite pas à l'apposition d'une certification.
J'ai vu trop d'organisations penser qu'elles pouvaient passer un audit en achetant un “CDN conforme”, mais elles se sont heurtées à une fin de non-recevoir. La véritable conformité doit porter sur l'ensemble du cycle de vie des données : cryptage TLS 1.3 pour la transmission, anonymisation pour le stockage et journalisation pendant au moins six ans sans altération. CDN07 a fait du bon travail à cet égard, en générant automatiquement des rapports de preuve de cryptage de la transmission et en fournissant un filigrane pour les journaux de conformité.
Il s'agit de notre modèle de configuration du journal d'audit :
Remarquez les deux derniers champs personnalisés : l'identifiant du patient est utilisé pour suivre l'accès aux données associé à un patient spécifique, et le champ de cryptage enregistre le protocole de cryptage utilisé pour chaque demande. Cette configuration a permis à trois de nos clients de passer avec succès les inspections en vol de la Commission de la santé.
Des astuces cachées dans le monde réel
Partagez deux expériences que les manuels ne décrivent pas : la première est l'utilisation intelligente des politiques de planification de la bande passante. L'industrie médicale connaît des pics d'accès évidents (par exemple, le pic de rendez-vous de 9 heures). Nous avons configuré une stratégie d'expansion dynamique de la bande passante sur CDN07, qui déclenche automatiquement le plan de protection lorsqu'un pic de trafic de 50% est détecté, ce qui permet d'économiser de l'argent et d'éviter les attaques soudaines du trafic.
La seconde consiste à créer de fausses pages 404 pour piéger les pirates. Nous avons déployé une page 404 déguisée en rapport d'erreur de base de données dans le portail de gestion, qui déclenche une alerte chaque fois que quelqu'un y accède :
Le mois dernier, ce piège a surpris un groupe d'attaquants qui tentait de s'infiltrer dans le système HIS - ils ont vu la fausse page “échec de la connexion à la base de données” et ont cru que l'opération était vraiment réussie, mais en fait elle avait déjà déclenché l'alarme de traçabilité.
Un dernier mot de vérité.
Quelle est la plus grande crainte dans toute cette histoire de sécurité médicale ? La peur de la mentalité du hasard. Il y a toujours des gens qui pensent que “nous sommes de petits hôpitaux, personne ne nous regarde”, que “les données ne valent pas de l'argent”, jusqu'à ce que le patient tienne la fuite de la vie privée de l'acte d'accusation jusqu'à la porte des yeux stupides. Maintenant que les moyens d'attaque ont été améliorés, les pirates utiliseront des attaques CC à faible débit qui consommeront lentement vos ressources, en choisissant deux heures du matin pour l'épidémie de règlement de l'assurance maladie.
Je vous conseille sincèrement de faire au moins un test de pénétration complet, en vous concentrant sur la vérification des angles morts de la configuration du CDN. Vérifiez que votre cache de ressources statiques n'a pas été mélangé à des données sensibles, que l'interface API n'a pas exposé l'identifiant du patient, que le WAF ne peut pas identifier l'attaque du faux document de la Commission de la santé - de nos jours, même le CDN doit “prévenir les coéquipiers”, certains des plus grands noms de l'industrie de la santé. L'utilisation abusive d'initiés est plus néfaste que les pirates informatiques.
Après tout, les solutions techniques sont des outils, et la véritable sécurité découle du respect des données médicales. La configuration du CDN le plus avancé, si même la classification et le classement de base des données ne sont pas effectués, ce n'est encore rien. N'oubliez pas un principe : le cryptage peut être crypté, il ne peut pas être stocké sur le non stockage, il peut être retracé doit être retracé. L'industrie médicale ne peut pas se permettre de jouer avec la sécurité, après tout, qui ne veut pas que ses rapports médicaux apparaissent sur les ventes au rabais du darknet, n'est-ce pas ?
