Newfoundland Health n’était pas préparé à une attaque de ransomware : rapport

Newfoundland Health n’était pas préparé à une attaque de ransomware : rapport

La sécurité informatique du système de santé de Terre-Neuve-et-Labrador avant une cyberattaque paralysante en 2021 et le vol de données faisait défaut, selon le bureau du commissaire à la protection de la vie privée de la province, qui a également déclaré qu’il n’y avait aucune justification pour que le gouvernement ne dise pas au public pendant plus de 500 jours qu’il s’agissait d’un rançongiciel. .

« Les mesures de cybersécurité conformes aux normes de l’industrie, reconnues à l’échelle internationale, n’étaient pas en place ou n’étaient pas entièrement mises en œuvre », a déclaré un rapport détaillé sur l’attaque publié cette semaine,
«Laissant les renseignements personnels sur la santé et les renseignements personnels des citoyens de la province vulnérables aux cyberattaques, ce qui, dans les circonstances, était presque inévitable.

“De plus, ces vulnérabilités étaient connues au sein du système de santé, mais il n’y a pas eu de mesures suffisantes et opportunes pour y remédier”, ajoute-t-il.

Le rapport indique que le blâme devrait être partagé par la province, trois régies régionales de la santé et le Centre provincial d’information sur la santé, le fournisseur de services partagés en TI pour la santé. (Depuis l’attaque, les autorités sanitaires et le Centre ont été regroupés en une seule autorité sanitaire provinciale appelée Newfoundland and Labrador Health Services.)

En mars 2022, le gouvernement a déclaré que l’attaque lui avait coûté 16 millions de dollars, dont 5 millions de dollars pour les services de surveillance du crédit des victimes.

Officiellement, plus de 100 000 patients, employés actuels et anciens employés ont été informés que leurs données personnelles avaient été volées. Cependant, selon le rapport, il est probable que «la grande majorité de la population de la province» – des centaines de milliers de personnes – disposait d’une certaine quantité d’informations personnelles ou d’informations personnelles sur la santé prises par les cyber-attaquants.

Le nombre précis, ajoute le rapport, pourrait ne jamais être connu.

Dans un rapport provincial publié en mars le gouvernement a déclaré que l’attaque avait commencé par un intrus pénétrant dans le VPN d’un environnement provincial géré d’informations sur les soins de santé, en utilisant les informations d’identification compromises d’un utilisateur légitime. On ne sait pas comment l’attaquant a obtenu ce nom d’utilisateur et ce mot de passe.

Dans ce rapport, pour la première fois – 18 mois après l’attaque – le gouvernement a reconnu que le gang du rançongiciel Hive était responsable. La province a dit qu’elle ne pouvait le révéler qu’alors parce que le gang avait été démantelé.

Le rapport du bureau du commissaire à la protection de la vie privée ne l’achète pas. “Le temps qui s’est écoulé avant que le public ne soit informé qu’il s’agissait d’une cyberattaque par rançongiciel est préoccupant, et la justification fournie pour un tel délai était insuffisante pour le justifier”, indique le rapport.

Lire aussi  Alerte retraite: les Britanniques invités à utiliser l'option de retraite «la plus rentable» pour 2022 | Finances personnelles | La finance

La réponse du gouvernement au rapport n’a pas directement traité les plaintes selon lesquelles la cybersécurité du système informatique de santé faisait défaut, ou le retard à admettre qu’il s’agissait d’un rançongiciel. Au lieu de cela, dans une déclaration Le ministre de la Justice, John Hogan, a déclaré que le gouvernement était ravi que le Commissariat à l’information et à la protection de la vie privée ait constaté que la province avait pris des mesures raisonnables pour enquêter et contenir la cyberattaque après sa découverte.

Les ransomwares “auraient dû être un élément plus important sur le radar des dirigeants du système de santé”, indique le rapport.

Il admet que la pandémie de COVID-19 aurait rendu difficile la réalisation des progrès nécessaires en matière de cybersécurité pendant cette période. Mais, ajoute le rapport, les vulnérabilités des systèmes informatiques de soins de santé étaient connues et les progrès pour les brancher “étaient insuffisants”.

Et si la création d’un modèle de services informatiques partagés en 2019, géré par le Centre d’information sur la santé, a été l’occasion de mettre toutes les régies régionales de la santé au même niveau en matière de cybersécurité, le rapport indique qu’il a été “insuffisamment priorisé”. ” En fait, trois mois avant la mise en œuvre des services partagés, le Centre a reçu une évaluation de la posture de confidentialité et de sécurité de Deloitte qui a identifié un certain nombre de faiblesses et de lacunes en matière de cybersécurité, note le rapport.

Pour des raisons de sécurité, le rapport ne révèle pas de détails sur la manière dont l’auteur de la menace s’est déplacé dans les systèmes informatiques ni sur les méthodes d’attaque utilisées. Il ne dit pas non plus si la province a payé une rançon. Le rapport indique que bon nombre des outils et techniques utilisés par l’acteur de la menace étaient courants et bien connus, et auraient dû être identifiés et traités par un écosystème de défense approprié.

Le rapport relate également le délai de deux semaines : le 15 octobre 2021, l’intrus a utilisé les informations d’identification d’un employé pour accéder au système informatique géré, qui comprenait les domaines des quatre régies régionales de la santé. Dix jours plus tard, l’attaquant s’est déplacé latéralement dans l’environnement, a augmenté ses privilèges via un compte doté de privilèges administratifs et s’est connecté à d’autres systèmes informatiques. Entre le 26 et le 29 octobre, l’attaquant a exfiltré plus de 200 Go de données. Le 30 octobre, le rançongiciel a été déployé, provoquant une perturbation généralisée des services de santé informatique.

Lire aussi  Bob Iger, la suite : cette fois c'est personnel

Le rapport indique qu’avant le 30 octobre, il y a eu des alertes informatiques. Cependant, ils n’ont pas fait l’objet d’une enquête et/ou d’une réponse appropriées. “Si cela avait été fait, cela aurait peut-être empêché ou réduit l’étendue de l’extraction malveillante de données qui a suivi”, indique le rapport.

Certaines des données volées comprenaient inutilement des numéros d’assurance sociale. Celle-ci a été collectée lors de l’inscription des patients au traitement. Pourquoi? Car, dit le rapport, il y avait une place pour le saisir à l’écran dans le module informatisé d’admission des patients. Cependant, la loi provinciale sur la protection de la vie privée en matière de santé stipule que les établissements « ne doivent pas recueillir plus de renseignements personnels sur la santé qu’il n’est raisonnablement nécessaire pour atteindre l’objectif de la collecte ».

Un autre problème était que certaines régies régionales de la santé ont conservé des données pendant plus de 10 ans, ce qui a contribué à l’énorme quantité de données volées. Les autorités sanitaires n’ont pas mis en œuvre des politiques et procédures appropriées de gestion des dossiers relatives à la conservation
et la destruction de renseignements personnels et de renseignements personnels sur la santé, indique le rapport. Il recommande à la nouvelle autorité sanitaire unifiée de “continuer à prendre des mesures diligentes pour assurer
que les politiques et procédures de gestion de l’information concernant la conservation et
la destruction des renseignements personnels et des renseignements personnels sur la santé sont développés.

Le rapport critique également le langage prudent utilisé par les responsables provinciaux pour décrire l’attaque et le vol de données. D’ici le 8 novembre 2021, “le [Health] Le Département et le Centre savaient que les informations hautement sensibles décrites lors des premières séances d’information sur la violation de la vie privée avaient été prises par l’auteur de la menace, mais n’ont pas fourni cet avertissement au public », indique le rapport. Au lieu de cela, le gouvernement a initialement parlé de données « consultées », « obtenues » ou « prises ». En fait, lors d’une conférence de presse le 10 novembre, Hogan a déclaré : « Dans le cybermonde et en particulier l’accès à ces données, ce mauvais acteur a accès et a eu accès à des données à un moment donné, cela ne signifie pas qu’elles ont été copiées, elles ne signifie pas qu’il a été pris.

Lire aussi  Les petites entreprises doivent soutenir la campagne de vaccination

Le rapport commente que “l’accent mis sur les distinctions entre” consulté “et” pris “était un compte rendu inexact de ce que savaient les responsables à l’époque, et minimisait finalement le risque de préjudice [to victims].”

« Des informations clés étaient déjà connues à la fois du Centre et du Département et dissimulées au public », indique le rapport.

Parmi les recommandations du rapport, il y a que l’autorité sanitaire provinciale mette à jour les politiques de notification pour refléter que, lorsqu’il y a une violation des renseignements personnels ou des renseignements personnels sur la santé et qu’une notification publique est requise, dans le cas d’une cyberattaque par rançongiciel, la notification devrait inclure des informations sur ces circonstances à la première occasion raisonnable ;

“Le groupe de rançongiciels Hive et les tactiques et outils qu’ils ont utilisés dans cette cyberattaque
n’étaient pas imparables », indique le rapport. « En fait, bon nombre des techniques utilisées dans cette cyberattaque étaient des techniques de base couramment utilisées dans les cyberattaques et étaient bien connues au sein de la communauté de la cybersécurité. Un système de cyberdéfense adéquat peut identifier ces techniques dans son système et fournir des mesures de réponse aux incidents pour empêcher tout mouvement ultérieur au sein d’un système et/ou empêcher ou réduire la suppression de données.

Il mentionne des éléments tels que la sauvegarde des données dans le cloud, la mise à jour et la mise à jour des ordinateurs, des appareils et des applications et l’utilisation de l’authentification multifacteur pour protéger les identifiants de connexion.

Environ un an avant l’attaque par ransomware, le Centre a préparé une note d’information pour le ministre de la Santé indiquant que la probabilité d’une attaque par ransomware était “élevée”. D’importantes vulnérabilités informatiques existent, indique cette note d’information, notamment des systèmes d’exploitation obsolètes, des systèmes non corrigés et des failles logicielles. Il a également déclaré que les priorités du Centre seraient la formation et la sensibilisation à la sécurité pour tout le personnel lié à la santé, la gestion des correctifs, la sauvegarde des données critiques, l’amélioration de la surveillance et de l’alerte et l’hygiène des informations d’identification.

Parmi les recommandations du rapport figure la création d’un poste de responsable provincial de la protection de la vie privée pour s’assurer que l’autorité sanitaire unifiée respecte les meilleures pratiques en matière de confidentialité.

#Newfoundland #Health #nétait #pas #préparé #une #attaque #ransomware #rapport
2023-05-26 14:40:37

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Recent News

Editor's Pick