Une faille de cybersécurité désastreuse survenue plus tôt cette année dans l’un des plus grands systèmes de santé des États-Unis a exposé les données sensibles de 5,6 millions de patients et d’employés.

Une attaque de ransomware du 29 février 2024 contre Ascension Health, qui gère environ 140 hôpitaux, 40 établissements de soins pour personnes âgées et 175 000 prestataires associés à travers le pays, n'a été découverte que le 8 mai lorsqu'elle a semé le chaos dans les systèmes, obligeant les hôpitaux à utiliser des systèmes manuels et systèmes sur papier lorsque les systèmes informatiques et téléphoniques ont été arrêtés.

Ascension Health traite plus de 16 millions de visites de patients par an et a indiqué que, même si les données impliquées varient et ne peuvent pas être confirmées pour chaque individu, elles peuvent inclure l'un des éléments suivants :

  • Informations médicales telles que les numéros de dossier médical, les dates de service, les types de tests de laboratoire ou les codes de procédure
  • Informations de paiement, telles que les informations de carte de crédit ou les numéros de compte bancaire
  • Informations d'assurance telles que les numéros d'identification Medicaid ou Medicare
  • Numéros de police ou réclamations d’assurance
  • Pièces d'identité gouvernementales telles que numéros de sécurité sociale, numéros d'identification fiscale, numéros de permis de conduire ou de passeport
  • Informations personnelles, y compris les dates de naissance ou les adresses

L'organisation a maintenant entamé le processus d'information des 5 599 699 patients et employés potentiellement concernés alors que l'examen des données est en cours. Les personnes concernées doivent s'attendre à recevoir des lettres de notification dans les 2 à 3 prochaines semaines, et Ascension offrira 24 mois de crédit et de surveillance CyberScan, ainsi qu'une politique de remboursement d'assurance de 1 000 000 $ et des services de récupération en cas de vol d'identité entièrement gérés.

Dans un communiqué, Ascension a déclaré que « bien que les données des patients soient impliquées… il ne reste aucune preuve que les données ont été extraites de nos dossiers de santé électroniques (DSE) et d'autres systèmes cliniques, où nos dossiers complets de patients sont stockés en toute sécurité. »

Ascension a également déclaré que depuis l'attaque, ils ont réussi à « restaurer tous les systèmes, fonctions cliniques et accès aux dossiers de santé électroniques qui ont été touchés par l'incident », ce qui a plongé les hôpitaux dans le chaos en tentant de traiter les patients alors que les ordinateurs et les lignes téléphoniques étaient en panne.

La violation initiale a été provoquée par un employé téléchargeant accidentellement un fichier malveillant ; le groupe de ransomware Black Basta serait responsable de la cyberattaque. Black Basta est un ransomware-as-a-service et a été identifié pour la première fois en avril 2022. Plus de 500 organisations ont été victimes de ses attaques.

Après l'attaque de l'Ascension, le FBI et la CISA, l'Agence de cybersécurité et de sécurité des infrastructures, ont publié des avis contenant des recommandations à suivre à l'intention des hôpitaux et des organisations d'infrastructures critiques, qui incluent des mesures de sécurité telles que : l'installation de mises à jour pour les systèmes d'exploitation, les logiciels et les micrologiciels dès qu'ils sont installés. sont publiés, exigent une MFA résistante au phishing pour autant de services que possible et forment les utilisateurs à reconnaître et signaler les tentatives de phishing.