Lors de trois cyberattaques majeures contre des entreprises auxquelles des établissements de santé néerlandais avaient externalisé leurs TIC, les données médicales d’environ 900 000 personnes ont été divulguées l’année dernière.
L’autorité néerlandaise de protection des données en fait état dans son rapport annuel sur les violations de données. La santé est le secteur avec le plus de signalements et d’incidents : près de neuf mille en 2022. C’était également le cas en 2021. Cela concerne non seulement les hôpitaux vulnérables, mais aussi, par exemple, les soins aux personnes âgées, les kinésithérapeutes, les médecins généralistes, les pharmaciens, les sages-femmes et les dentistes.
En 2022, les choses ont mal tourné à trois reprises à grande échelle parce que des pirates ont réussi à pénétrer dans des entreprises de TIC auxquelles de nombreux prestataires de soins de santé avaient externalisé leurs TIC.
Récemment, l’organisation de branche Z-CERT (équipe d’intervention d’urgence informatique pour les soins de santé) s’alarment de la vulnérabilité des prestataires de soins de santé. En 2022, les nuisances principalement causées par les attaques avec des ransomwares étaient « beaucoup plus importantes » qu’en 2021. Au niveau européen, le Z-CERT a enregistré 51 incidents de ransomwares dans les établissements de santé européens, soit 65 % de plus qu’en 2021.
Courriels peu clairs, peu d’urgence
« Une infrastructure partagée peut considérablement augmenter l’impact d’un seul incident », déclare l’un d’entre eux. rapport de C-zert. Les établissements de santé seraient insuffisamment conscients des risques s’ils stockaient les données de leurs patients sur un « cloud » et dépendaient donc d’une partie externe. »
Les données gérées par un fournisseur de TIC « valent de l’or pour les criminels », souligne l’Autorité néerlandaise de protection des données. L’organisation de protection de la vie privée ne divulgue pas les noms des entreprises qui n’avaient pas leur sécurité en ordre. L’AP essaie principalement de s’assurer que les entreprises concernées informent leurs clients ou patients, afin qu’ils puissent être plus vigilants. Cela ne va pas toujours bien, selon un échantillon par l’association des consommateurs. Les victimes reçoivent souvent des e-mails peu clairs qui expriment peu d’urgence.
sont des établissements de santé des cibles à fort potentiel pour les criminels qui utilisent un logiciel d’otage, déclare Desmond de Haan de l’Autorité néerlandaise de protection des données. Les établissements de santé sont relativement sujets au chantage pour payer des rançons, par exemple, car ils sont très dépendants de leurs données et il s’agit souvent d’informations très sensibles.
Lisez aussi cet article : Dix-sept arrestations aux Pays-Bas dans le cadre d’une enquête internationale sur la cybercriminalité
Chantage
Il n’existe aucun moyen fiable de vérifier si les établissements de santé paient une rançon pour retrouver l’accès à leurs données après une cyberattaque et pour empêcher que les données sur leurs patients ne soient échangées. Assurez-vous que cela arrive.
« Cela dépend des parties elles-mêmes », déclare Özlem Sehirli-Kaya, chef de l’équipe de violation de données à ce sujet. « Mais ce n’est pas une raison pour ne pas signaler le vol de données. » Elle souligne à quel point il est important pour les fournisseurs de soins de santé d’avoir leur sécurité en ordre. « Si vous allez chez un obstétricien ou un physiothérapeute, vous devez simplement être sûr que vos données sont en sécurité. »
L’autorité néerlandaise de protection des données constate également une forte augmentation du nombre de rapports dans lesquels des données personnelles ont été ajoutées à un fichier incorrect. Il s’agit souvent d’erreurs humaines et non d’attaques externes.
La préoccupation est une valeur aberrante négative. Le nombre total de violations de données signalées en 2022 était inférieur à celui de l’année précédente, passant de 24 866 à 21 151. Il en va de même pour le nombre total de signalements de cyberattaques. Cela a chuté après des années d’augmentations de 2 210 à 1 826.
Lisez aussi cet article : Vos données ont été divulguées ? Vous pouvez le faire pour empêcher le phishing