Serveur d'impression

Le BIG constate des lacunes en matière de cybersécurité dans le projet de recherche sur la médecine de précision «Tous d’entre nous» des NIH – Bien choisir son serveur d impression

Le 18 juin 2019 - 9 minutes de lecture

Le Bureau de l'inspecteur général (OIG) a relevé des lacunes dans la cybersécurité dans le projet de médecine de précision «All of Us» du National Institutes of Health (NIH), qui pourraient révéler des informations personnellement identifiables, notamment des informations personnelles sur la santé, et permettre l'accès aux données. .

Selon un rapport de l'OIG (PDF), ces vulnérabilités auraient pu permettre à un attaquant disposant de connaissances techniques limitées d'exploiter et de compromettre les systèmes informatiques destinés aux participants, car la plupart des vulnérabilités ne nécessitaient pas de connaissances techniques importantes à exploiter.

Au cours de l'audit, qui a commencé en août 2017 et s'est achevé en février dernier, les NIH ont résolu et corrigé toutes les vulnérabilités identifiées, a indiqué le BIG dans un résumé du rapport.

Bulletin quotidien gratuit

Vous aimez cette histoire? Abonnez-vous à FierceHealthcare!

Le secteur des soins de santé reste en mutation alors que la politique, la réglementation, la technologie et les tendances façonnent le marché. Les abonnés de FierceHealthcare comptent sur notre suite de newsletters comme source incontournable pour les dernières actualités, analyses et données ayant un impact sur leur monde. Inscrivez-vous aujourd'hui pour recevoir les nouvelles et les mises à jour sur les soins de santé dans votre boîte de réception et les lire pendant vos déplacements.

Le programme de recherche "All of Us" est chargé de constituer une cohorte de recherche nationale de plus d'un million de participants qui fourniront leurs informations médicales personnelles aux NIH afin que les chercheurs, les prestataires et les patients puissent travailler ensemble. Au 2 avril, plus de 209 000 personnes s'étaient inscrites pour Nous tous et, parmi elles, plus de 126 000 avaient terminé toutes les étapes du protocole afin de fournir leurs données.

Dans son rapport, le BIG a déclaré que le maintien de la confiance et de la participation des participants au projet était une garantie de la sécurité des données des participants.

Grâce à des accords de coopération, les NIH ont créé quatre composantes de Nous tous: la biobanque, le centre de données et de recherche, le centre de systèmes technologiques participant et le centre de participants.

Le BIG a examiné les contrôles de sécurité des systèmes informatiques du centre de systèmes technologiques participant, géré par la société de technologie de soins de santé Vibrent Health dans le cadre de son contrat avec NIH, et du centre de données et de recherche géré par le centre médical de l'université Vanderbilt.

Lorsque des personnes s'inscrivent au projet All of Us, chez un fournisseur de soins de santé participant ou séparément, elles transmettent leurs données via une application smartphone ou le site Web All of Us, développé par Vibrent Health. Cette plate-forme prend également en charge les tests et les mises à niveau en continu pour améliorer l'expérience utilisateur, implémente des outils de participation innovants et assure la sécurité de ces systèmes, selon OIG.

CONNEXES: le BIG détecte des vulnérabilités dans les contrôles de cybersécurité HHS, détection — rapport

Les participants soumettent des données telles que des réponses à des questionnaires et à des enquêtes, des dossiers de santé électroniques (DSE), des mesures physiques et des échantillons biologiques ainsi que des données de santé passives mobiles et numériques.

Le centre de données et de recherche acquiert, organise et fournit un accès sécurisé à ce qui sera l’un des ensembles de données les plus vastes et les plus diversifiés au monde pour la recherche en médecine de précision. Ce centre, géré par Vanderbilt, fournit également une plate-forme via laquelle les utilisateurs peuvent accéder à et analyser les données All of Us.

Toutes les organisations sous contrat pour travailler sur le projet All of Us doivent respecter un cadre de sécurité basé sur Institut national des normes et de la technologie cadre défini dans les accords de coopération, a déclaré le BIG.

Le BIG a voulu déterminer si les NIH veillaient à ce que les deux organisations qui gèrent les données de recherche disposent de contrôles adéquats pour protéger les données sensibles des participants. L'inspecteur général s'est notamment penché sur les plans de sécurité, les contrôles d'accès, la protection des informations et la maintenance des systèmes, la journalisation des audits, la sécurité physique et des données, la réponse aux incidents et la reprise après sinistre.

CONNEXES: Les NIH examinent pour la première fois la base de données sur la santé de la recherche sur la médecine de précision, All of Us

Le BIG a déterminé que Vibrent Health ne disposait pas de contrôles adéquats pour protéger les données sensibles de tous les participants au programme de recherche. Plus précisément, grâce à des tests de pénétration effectués sur les réseaux internes et externes de Vibrent et sur l’application mobile utilisée pour inscrire les participants, le BIG a identifié 13 vulnérabilités, dont deux classifiées comme "élevées", qui auraient pu révéler les informations personnellement identifiables des participants à Nous tous, y compris leurs informations personnelles. informations de santé, et a permis aux utilisateurs non autorisés de modifier les données des participants.

Un grand nombre de vulnérabilités résultaient de mauvaises configurations du serveur et de problèmes de conception lors de la création de l'application Web. En raison de la nature des vulnérabilités identifiées, un attaquant disposant de connaissances techniques limitées pourrait exploiter et compromettre les systèmes, a déclaré OIG.

Dans l’ensemble, les tests ont abouti à un accès à des systèmes critiques et modérés et au potentiel d’accès à des données sensibles ou à une incidence négative sur les systèmes.

Lors de son examen, le BIG a également constaté que NIH était responsable de ne pas avoir surveillé correctement Vibrent Health et ses contrôles de sécurité, car ces vulnérabilités auraient pu être découvertes et atténuées beaucoup plus tôt. Selon le rapport de l'OIG, les NIH ont effectué des tests de pénétration bihebdomadaires des systèmes, mais ils n'étaient pas robustes et utilisaient généralement uniquement des outils logiciels d'analyse des vulnérabilités.

L’inspecteur général a également identifié plusieurs autres problèmes au centre de services de technologie des participants susceptibles d’affecter la sécurité des données des participants, tels que l’impossibilité d’activer le cryptage dans son magasin de données en nuage, l’absence de politiques et de procédures permettant de remédier rapidement aux vulnérabilités du code source. désactivation de l'accès au réseau. Selon le rapport, Vibrent Health n’a pas non plus analysé correctement son réseau.

CONNEXES: NIH: Le projet de médecine de précision pour nous tous enfin prêt pour le prime time

Selon l'inspecteur général, Vanderbilt, de son côté, a mis en place de solides pratiques en matière de cybersécurité, notamment des évaluations de routine et le contrôle des contrôles de sécurité, les chercheurs n'ayant trouvé aucune vulnérabilité au centre de données et de recherche.

Dans une lettre adressée au BIG en avril concernant le rapport, le directeur des NIH, Francis Collins, a indiqué que l'audit du programme de recherche All of Us effectué par le BIG avait eu lieu en août 2017 et que les tests d'intrusion avaient eu lieu en octobre 2017, avant l'ouverture du programme. le programme à large inscription. Pendant ce temps, le programme était engagé dans une phase de test bêta robuste, dont le but était de découvrir les vulnérabilités potentielles, a déclaré Collins.

Le programme Tous des États-Unis des NIH a également fait appel à HackerOne pour des tests de vulnérabilité de la sécurité dans le "monde réel" en avril 2018 avant le lancement national, a déclaré Collins. HackerOne a découvert 34 failles de sécurité, qui ont toutes été corrigées et dont beaucoup ont été corrigées avant le lancement du programme dans tout le pays, a-t-il déclaré.

Collins a également déclaré que le BIG avait découvert les vulnérabilités du pare-feu du centre de données dans un cadre de "boîte grise", faisant référence à une méthode de test de logiciel.

"La sécurité des données de nos participants est d'une importance primordiale pour le programme de recherche All of Us", a déclaré Collins.

L'inspecteur général recommande aux NIH de réviser ses accords de coopération Tous les États-Unis en matière de sécurité et de confidentialité afin d'inclure une description détaillée de la manière dont ils surveilleront la cybersécurité et de veiller à ce que les futurs sous-traitants mettent en place des contrôles de sécurité adéquats pour protéger les données sensibles.

Collins a déclaré que les NIH étaient en train de réviser leurs termes et conditions de sécurité et de confidentialité dans les contrats de programme de recherche applicables "All of Us" et apporteraient les mises à jour nécessaires pour assurer la sécurité des données des participants.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.