Le secteur de la santé a été la cible de centaines de cyberattaques cette année. Un décompte des rapports publics sur les violations de données montre jusqu’à présent que des dizaines de millions de dossiers de santé ont été exposés à des parties non autorisées.
La plupart des plus grandes violations de données résultent d’attaques de ransomware et les dix premières d’entre elles représentent plus de la moitié de tous les dossiers de santé exposés en 2021.
PII de millions volés ou exposés
La règle de notification de violation en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act) oblige les organisations de soins de santé à divulguer une violation si elle affecte plus de 500 résidents d’un État ou d’une juridiction.
Les dix principaux événements cybernétiques ayant l’impact le plus important répertoriés sur le portail du bureau des droits civils du ministère américain de la Santé et des Services sociaux (HHS) proviennent d’incidents de piratage et expliquent l’exposition des données de près de 19 millions de personnes.
Au sommet de la liste signalée cette année se trouve un incident qui a eu un impact sur la Florida Healthy Kids Corporation. Les pirates exploitant les vulnérabilités sont partis sans correctif depuis sept ans dans sa plate-forme d’hébergement de sites Web avait accès aux données de 3,5 millions de personnes.
La deuxième plus grande violation de données dans le secteur de la santé a eu un impact sur le 20/20 Eye Care Network en Floride, ce qui a entraîné l’exposition des données personnelles de plus de 3,2 millions de personnes.
Les pirates ont eu accès aux compartiments AWS S3 de l’entreprise et ont supprimé les informations. UNE un recours collectif a été déposé contre 20/20 Eye Care Network.
Une autre violation notable des données vient du groupe de dermatologie Forefront Dermatology, qui trouvé qu’une personne non autorisée a eu accès à ses systèmes pendant une semaine.
L’intrusion a révélé des informations sur plus de 2,41 millions de patients, notamment les noms, adresses, dates de naissance, identifiants des membres du régime d’assurance maladie et les détails des traitements médicaux et cliniques.
Attaque de gangs de ransomware
Le 19 février 2021, NEC Networks (CaptureRx) découvert que ses systèmes avaient été compromis deux semaines plus tôt et que les intrus avaient accès aux dossiers des clients.
L’enquête a ensuite déterminé qu’il s’agissait d’une attaque de ransomware qui avait affecté les données appartenant à 1,65 million de personnes.
Les données de plus de 1,5 million de personnes ont été compromises lors d’une attaque le 4 août contre la division de l’hôpital public d’Eskenazi Health.
Les pirates étaient sur le réseau interne depuis le 19 mai, se préparant à chiffrer le réseau, bien qu’ils n’aient pas réussi à terminer l’opération, le l’entreprise a dit.
Bien que l’acteur de la menace n’ait crypté aucune donnée, il a réussi à voler à l’organisation des informations personnelles et de santé appartenant aux patients.
Kroger Co. a confirmé une violation de données qui a exposé les dossiers de 1,47 million de personnes. L’incident faisait partie d’une campagne d’extorsion du gang du ransomware Clop.
L’accès aux données de l’entreprise a été possible par exploiter les vulnérabilités d’Accellion ancien service File Transfer Appliance utilisé par jusqu’à 100 entreprises.
La chaîne de supermarchés Kroger, également exploitant de pharmacie, a accepté de payer 5 millions de dollars pour mettre fin aux réclamations contre elle au nom des clients et des employés dont les informations personnelles ont été exposées.
Également victime d’une attaque de ransomware, le système de santé de St. Joseph’s/Candler a annoncé avoir détecté l’intrusion le 17 juin 2021. Un l’enquête a révélé que les pirates avaient accès au réseau depuis le 18 décembre 2020.
Alors qu’ils étaient sur le réseau, les attaquants ont eu accès aux données de 1,4 million de patients, y compris les adresses, les dates de naissance, les numéros de sécurité sociale, le numéro de permis de conduire, les informations financières, l’identifiant du membre du régime d’assurance maladie et les informations sur les traitements médicaux et cliniques.
À la mi-juin, le gang du ransomware REvil a violé les systèmes du University Medical Center Southern Nevada, qui stockait les données de 1,3 million de personnes.
Les données comprenaient des informations personnellement identifiables (PII) ainsi que « certaines informations de santé protégées », révèle l’incident de sécurité des données notification de l’organisation.
Anesthésiologie américaine patients notifiés début janvier 2021 que Mednax Services, l’un de ses fournisseurs de services, avait été victime d’un incident de phishing ayant entraîné l’exposition d’informations personnelles à une partie non autorisée
L’attaquant avait eu accès au système de messagerie Microsoft Office 365 du partenaire à la mi-juin 2020 et pouvait accéder aux informations personnelles appartenant à des patients américains en anesthésiologie. Au total, les données de 1,2 million de personnes ont été exposées.
Le dernier sur la liste des dix plus grandes violations de données signalées jusqu’à présent en 2021 est Professional Business Systems, Inc., d/b/a Practicefirst Medical Management Solutions et PBS Medcode Corp., (« Practicefirst ») – un fournisseur pour plusieurs prestataires de soins de santé .
L’incident était une attaque de ransomware ratée et il est devenu connu fin décembre 2020. Les pirates n’ont crypté aucune donnée mais ils fichiers copiés du réseau de Practicefirst, exposant les informations personnelles de plus de 1,2 million de patients et d’employés.
Plus de 50 incidents de piratage divulgués sur le portail HHS ont touché plus de 100 000 personnes, ce qui montre que les organisations du secteur de la santé restent des cibles attrayantes.
Selon Journal HIPAA, près de 45 millions de dossiers de santé ont été exposés ou volés lors d’infractions signalées en 2021.