Payer une rançon ne résoudra pas votre violation de données

Version imprimable, PDF et e-mail

La loi américaine de 1996 sur la portabilité et l'imputabilité des régimes de santé (HIPAA) vise à empêcher la divulgation d'informations sensibles relatives à la santé des patients sans leur consentement ou à leur insu. Or, comme chacun le sait, une attaque par ransomware réussie contre un établissement de santé entraîne inévitablement la « divulgation » de ces informations. Dans une telle situation, la législation HIPAA prévoit une obligation de notification. En général, les entités soumises à cette loi font de leur mieux pour en respecter les règles et adresser les notifications appropriées. Mais que se passe-t-il lorsqu'une institution ne se rend pas compte qu'elle a fait l'objet d'une violation de données ?

C'est ce qui est vraisemblablement arrivé à l'Arizona Asthma and Allergy Institute. Cet établissement défraie actuellement la chronique pour une violation de données survenue en 2020 et qui, selon les déclarations, aurait touché 50 000 patients de l'établissement entre le 1er octobre 2015 et le 15 juin 2020. La violation a été signalée aux autorités le 3 mai 2021. L'Institute a établi un nouveau bilan la semaine dernière en annonçant que l'attaque avait touché plus de 20 000 patients supplémentaires. Ce sont les chercheurs de DataBreaches.net qui ont lancé l'alerte en informant l'Institute de la présence de données lui appartenant sur le site du groupe de pirates Maze.

Une double extorsion aux conséquences irréversibles

Les auteurs du ransomware Maze ont été les premiers à utiliser le système à « double extorsion », qui consiste à menacer les victimes de publier leurs données en cas de non-paiement de la rançon. Lorsque leurs demandes de rançon n'aboutissent pas, les pirates informatiques publient en principe tout ou partie des données sur le site Maze. C'est là que les chercheurs ont découvert les données de l'Institute en 2020, les associant initialement à tort à Medical Management Inc, tel qu'on peut le voir dans l'extrait d'article suivant :

À un moment donné (date inconnue par DataBreaches.net), Maze a ajouté Medical Management, Inc. à son site. L'inspection a révélé que les fichiers en question concernaient le traitement électronique de remboursements et contenaient des données ePHI, notamment des informations d'assurance maladie. DataBreaches.net n'a alors pu trouver aucune trace de cette attaque dans les médias, ni la moindre notification adressée au département de la Santé et des Services sociaux. Le 3 novembre, plus de quatre mois après la date probable de l'exfiltration, DataBreaches.net a contacté MedMan au sujet de sa réponse à l'incident et d'éventuelles notifications mais n'a obtenu aucune réponse.

Quelque temps après la publication de cet article en novembre 2020, les chercheurs de DataBreaches.net ont été informés que les données appartenaient à l'Institute, et non à MedMan. Ils ont alors informé l'intéressé de la violation des données le 5 janvier 2021. Et c'est seulement le 8 mars 2021 que l'Institute a confirmé la fuite des données suivantes :

... le prénom et le nom de famille des individus, associés à leur numéro de patient, au nom du médecin, à leurs informations d'assurance maladie et au détail des frais de traitement.

Des données exposées pour toujours

Il n'est pas rare que des mois, voire des années, s'écoulent avant qu'une violation de données soit reconnue, fasse l'objet d'une enquête approfondie et soit portée à la connaissance des personnes concernées. Les données peuvent être visibles sur le dark Web pendant longtemps avant qu'une entreprise ne sache même qu'elles ont été dérobées. C'est pourquoi il est capital de se rappeler qu'une fois les données exposées, elles le sont pour toujours.

L'équipe derrière le ransomware Maze a été dissoute à la fin de l'année dernière, mais qui sait où se trouvent les données volées ? Impossible de savoir si elles ont été publiées sur un autre site, vendues en douce à d'autres criminels, ou si elles apparaîtront dans une future violation multiple telle que celle-ci. Ce dont nous sommes convaincus, c'est que le paiement d'une rançon ne rétablira pas la confidentialité de vos données.

La leçon la plus importante à tirer de cet incident est la nécessité de sécuriser vos données. Pour ce faire, 1) protégez vos identifiants, 2) sécurisez vos applications Web et 3) sauvegardez vos données à un endroit inaccessible aux ransomwares. Barracuda vous aide à y parvenir. Consultez notre site Web pour en savoir plus.

 

Protégez votre entreprise des attaques par ransomware.

 

Remonter en haut de page
Tweeter
Partager
Partager