<  Back to the Polytechnique Montréal portal

Analyse du risque en matière de cybersécurité de l'écosystème des dispositifs électroniques cardiaques implantables (DECI)

Mikaela Stéphanie Ngamboe Mvogo

Masters thesis (2019)

[img] Restricted to: Repository staff only until 12 June 2020.
Cite this document: Ngamboe Mvogo, M. S. (2019). Analyse du risque en matière de cybersécurité de l'écosystème des dispositifs électroniques cardiaques implantables (DECI) (Masters thesis, Polytechnique Montréal). Retrieved from https://publications.polymtl.ca/3877/
Show abstract Hide abstract

Abstract

L’utilisation des dispositifs électroniques cardiaques implantables (DECI) équipés de fonctionnalités de télémétrie augmente en raison des avantages qu’ils apportent à la qualité des soins aux patients, au rendement du personnel médical et à la réduction des coûts en santé. Ils interagissent avec des systèmes externes situés à l’hôpital (programmeur), au domicile des patients (moniteur à domicile) et dans le nuage. Les DECI communiquent avec les programmeurs et les moniteurs domestiques par l’intermédiaire de signaux radiofréquence (RF) transmis dans la bande des services de communication pour implants médicaux (MICS 402-405 Mhz), tandis qu’ils interagissent avec les systèmes en nuage par l’intermédiaire des moniteurs domestiques et de la connectivité IP (protocole Internet). Les DECI sont vulnérables aux cyberattaques qui exploitent leur interface de communication par radiofréquence. Cela vaut également pour les DECI non équipés de télémétrie, mais la télémétrie introduit des vecteurs d’attaque supplémentaires. La mise en garde de la Food and Drug Administration (FDA) concernant près d’un demi-million de DECI en 2017, selon laquelle ces dispositifs étaient vulnérables à un accès non autorisé, permettant à une personne malveillante de les reprogrammer à l’aide d’équipements disponibles sur le marché, témoigne de la croissante inquiétude que suscitent les cyberattaques contre les DECI. Bien que les DECI puissent être vulnérables, aucune cyberattaque de ce type n’a été signalée. Bien que nous sachions qu’il est techniquement possible de mener de telles attaques dans l’environnement contrôlé d’un laboratoire de recherche, il reste à déterminer dans quelle mesure de telles attaques seraient viables sur une cible réelle dans le monde réel. Nous avons cherché à évaluer les risques réels des cyberattaques contre les DECI équipés de télémétrie et des systèmes dont ils dépendent. Nous avons effectué une analyse de risque réaliste de ces attaques. Un inventaire des vulnérabilités qui ont été rendues publiques à ce jour a été réalisé. Des scénarios d’attaque ont été déterminés sur la base de ces vulnérabilités, en évaluant pourquoi et comment un cybercriminel pourrait les exploiter à des fins malveillantes. La probabilité d’une exploitation malveillante de chaque vulnérabilité a été estimée en fonction de trois critères : la capacité, la motivation et l’opportunité des cybercriminels. Des cyberattaques ont été simulées dans notre laboratoire à l’aide de DECI et de programmeurs. Nous avons déterminé l’impact des cyberattaques selon quatre échelles distinctes : santé, économie, vie privée et qualité de vie. L’impact sur la santé a été déterminé selon la classification Hayes des interférences cliniquement significatives avec les fonctions des DECI, tandis que le reste des impacts ont été déterminés selon le Fair Information Practice Principles 999 (FIPPS), un standard pour l’évaluation de sécurité des systèmes de l’information. Enfin, le risque associé à chaque vecteur d’attaque a été calculé en multipliant sa probabilité d’exploitation par son impact. Deux des six objectifs d’attaque possibles représentent un risque critique , à savoir “Inciter le personnel médical à commettre des erreurs de diagnostic” et “Acquérir des connaissances sur le fonctionnement de l’appareil et des logiciels”. Quatre des 15 vulnérabilités identifiées représentent un risque inacceptable, toutes associées à des dispositifs externes (programmeur et moniteur à domicile) et sont exploitables via l’accès réseau ou l’accès web aux cibles. Les résultats de cette étude révèlent que les menaces associées à l’interface de communication RF des DECI représentent un risque acceptable par rapport à la connectivité IP des appareils externes (programmateur et moniteur domestique). Le risque réel se trouve dans les réseaux informatiques et dans le nuage. Il existe plusieurs solutions à ce problème. Il est donc à la portée des groupes affectés (patients, personnel de santé, fabricants et autorités gouvernementales) de prendre les mesures nécessaires pour réduire les risques associés à de telles cyberattaques.----------ABSTRACT: The use of telemetry-enabled Cardiac Implantable Electronic Devices (CIED) is increasing due to the significant advantages it brings to patient care quality, medical staff performance and reductions in health cost. They interact with external systems located in the hospital (programmer), in patient homes (home monitor) and in the cloud. CIED communicate with programmers and the home monitors via Radio Frequency (RF) signals transmitted in the Medical Implants Communication Services band (MICS 402-405 Mhz), whereas they interact with cloud-based systems via home monitoring devices and Internet Protocol (IP) connectivity. CIED are vulnerable to cyber attacks that use their Radio Frequency communication interface. This also holds for non-telemetry enabled CIED, but telemetry capability introduces additional vectors of cyber attacks. The increased concern of cyber attacks on telemetry-enabled CIED was demonstrated by the Food and Drug Administration (FDA) warning affecting almost half a million CIED in 2017 stating the aforementioned devices were vulnerable to unauthorized access, allowing a malicious person to reprogram them using commercially available equipment. Although CIED may be vulnerable, no such cyber attacks have been reported. While we know it is technically possible to conduct such an attack in the controlled environment of a research laboratory, it remains to be determined how viable such an attack would be on an actual target in the real world. We sought to assess the real-life risks of cyber attack on telemetry enabled CIED and the systems they depend on. We carried out a realistic risk analysis of such attacks. An inventory of the vulnerabilities that have been made public to date was performed. Attack scenarios were determined based on those vulnerabilities, assessing why and how a cybercriminal could exploit them for malicious purpose. The likelihood of malicious exploitation of each vulnerability was estimated according to three criteria: cybercriminal ability, motivation, and opportunity. Cyber attacks were emulated in our laboratory using current CIED and programmers. We determined the impact of cyberattacks according to four separate scales: health, economy, privacy and quality of life. The impact on health was determined according to the Hayes classification of clinically significant interference with CIED function while the rest of impacts was determined with the Fair Information Practice Principles 999 (FIPPS), a standard for the security assessment of information systems. Finally, the risk associated with each attack vector was computed by multiplying its exploitation likelihood by its impact. Two of the six possible attack goals represent a critical risk namely “Induce medical staff to make diagnostic errors” and “Gain knowledge of device operation and software”. Four of the 15 inventoried vulnerabilities represent a critical risk; all associated to external devices (programmer and home monitor) and exploited by network access and web acess. The risk of exploiting CIED RF communication interface is minor compared to the risk of exploiting externals devices IP connectivity. The real risk lies in computer networks, and there are several solutions. It is therefore within the reach of affected groups (patients, health personnel, manufacturers and government autorities) to take necessary measures to reduce the risks associated to such cyberattacks.

Open Access document in PolyPublie
Department: Département de génie informatique et génie logiciel
Dissertation/thesis director: José M. Fernandez and Katia Dyrda
Date Deposited: 12 Jun 2019 14:38
Last Modified: 04 Jul 2019 16:04
PolyPublie URL: https://publications.polymtl.ca/3877/

Statistics

Total downloads

Downloads per month in the last year

Origin of downloads

Repository Staff Only