Quelque temps entre décembre 2019 et janvier 2020, cyberSanté Saskatchewan, le service de santé provincial, a été victime d'un Ryuk attaque de crypto-ransomware, exposant les informations personnelles et médicales de plus de 500,000 XNUMX personnes. Selon Ron Kruzeniski, commissaire à l'information et à la protection de la vie privée de la Saskatchewan, l'incident a été déclaré le la plus grande violation de données de l'histoire de la province.
Suite à une enquête, l'organisation a annoncé que les serveurs infectés contenaient 50 millions de documents, liés non seulement à la cybersanté, mais aussi à la Saskatchewan Health Authority et au ministère de la Santé. Approximativement 5 millions de ces documents contenaient des informations personnelles, qui a ensuite été analysé avec un outil propriétaire pour identifier l'impact de l'attaque.
Dans l'ensemble, il était difficile de déterminer si des acteurs malveillants avaient volé des données ou quel type d'informations avaient été spécifiquement compromises, car elles étaient cryptées. Quelques 40 Go de données ont été consultés par des IP en Allemagne et aux Pays-Bas.
Dans ce cas, il suffisait qu'une organisation soit infectée, puis fonctionner comme une vulnérabilité tierce pour deux autres grandes organisations gouvernementales, dont les dossiers étaient conservés sur les mêmes serveurs.
Dans une déclaration distincte, eHealth avait déclaré en 2020 qu'un montant de 150 millions de dollars canadiens un investissement était nécessaire pour mettre à niveau le matériel et les logiciels obsolètes.
"Une défaillance majeure de l'équipement qui peut perturber le service et mettre des vies en danger semble inévitable avec le modèle de financement actuel», lisait une note prémonitoire à l'époque.
Le facteur d'erreur humaine
Comment l'attaque du rançongiciel Ryuk s'est-elle produite ? Depuis que l'erreur humaine a été décrit comme le maillon le plus faible de la stratégie de cybersécurité d'une organisation, il ne faut pas s'étonner qu'il soit en faute dans ce cas précis. Par exemple, autant que 90% des violations de données au Royaume-Uni en 2019 étaient directement liés à l'erreur humaine, tout comme le déjà tristement célèbre Violation d'Equifax.
L'un des services de la Saskatchewan Health Authority les employés ont ouvert un fichier infecté sur un appareil personnel connectés à leur poste de travail par USB. Les erreurs humaines sont souvent involontaires, mais il existe de rares situations où une intention malveillante est derrière tout cela. Dans ce cas, bien qu'il ait été formé sur les questions de confidentialité, l'employé était simplement pas au courant des risques de cybersécurité supplémentaires. Cela souligne la nécessité d'une formation régulière sur la cybersécurité et la confidentialité pour s'assurer que les employés sont conscients et peuvent reconnaître les menaces potentielles.
Implications commerciales et financières
La santé est un secteur critique activement ciblé par les ransomwares attaques. L'année dernière, la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et le US Department of Health and Human Services (HHS) averti que ce type de cybermenace a augmenté contre les organisations de soins de santé, qui doivent se concentrer sur des stratégies d'atténuation et de défense. À l'avenir, les organisations critiques devront concentrer leurs efforts sur plusieurs plans de reprise après sinistre, ainsi que sur l'amélioration de la surveillance de l'accès au réseau.
Il est inquiétant que le ministère de la Santé ait été au courant de l'exposition aux rançongiciels vers le milieu de 2020 et n'ait pas immédiatement informé les autorités de la violation, a déclaré Kruzeniski. De plus, eHealth a fait un mauvais travail en enquêtant sur l'incident et en communiquant sur la perturbation, a ajouté IPC. Cette approche vacillante n'a permis d'exposer les informations que plus longtemps, les Saskatchewanais ne sachant pas quels détails personnels étaient concernés, pendant combien de temps et par qui.
Selon le vérificateur de la province, beaucoup de temps a été perdu avec la récupération et plusieurs systèmes critiques étaient inopérants. Il sera intéressant d'observer comment cette faille de sécurité sera traitée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale du Canada sur la vie privée des patients.
Cependant, il ne s'agit pas uniquement d'amendes potentielles et des têtes vont tomber. Le fait de ne pas annoncer publiquement la violation de données dès qu'elle s'est produite déclenchera probablement des problèmes de confiance parmi les patients, et peut-être même parmi les futurs partenaires commerciaux. Naturellement, le coût n'est pas non plus à négliger dans ce cas. N'oublions pas ça non seulement un grand volume de données a été compromis, mais les opérations commerciales ont été affectées et les systèmes informatiques ont été paralysés pendant une période prolongée. Bien qu'il se soit produit l'année dernière, il faudra du temps, des efforts et des ressources financières pour se remettre complètement de cet événement.
Ces situations peuvent être évitées si les organisations investissent dans des pratiques de sécurité et la formation de leurs employés, corrigent régulièrement les vulnérabilités logicielles pour empêcher les exploits et investissent dans des outils de sécurité pour automatiser la surveillance.
