£2.275.000-la plus grande amende pour une perte de données
La compagnie d’assurances Zurich UK a été condamnée par la FSA (Financial Services Authority – L’authorité des Services Financiers) à payer une amende de £2.275.000 pour la perte des détails personnels de 46.000 clients.
Les données perdues contenaient des informations sur l’identité des assurés, mais aussi des détails sur les comptes bancaires, les cartes de crédit, les biens assurés et les mesures de sécurité. Elles se trouvaient sur un disque de sauvegarde non-chiffré qui a été perdu par Zurich Insurance Company South Africa Limited, une compagnie sous contrat avec Zurich UK pour traiter les données des clients.
Le disque a été perdu en août 2008, mais Zurich UK n’a été informée sur cet incident qu’une année plus tard.
FSA a pris la décision d’appliquer cette amende à cause du fait que Zurich UK n’a pas pris les mesures nécessaires pour assurer les systèmes et les contrôles efficaces pour gérer les risques liés à la sécurité des données des clients durant le processus d’outsourcing et pour prévenir la situation dans laquelle les informations perdues pouvaient être utilisées pour des infractions financières.
Un officiel de FSA attire l’attention des entreprises qui activent dans le domaine financier d’analyser les détails de cet incident et d’apprendre des erreurs faites par Zurich UK.
De tels événements peuvent se produire n’importe quand, si long que les compagnies qui traitent des données personnelles et confidentielles ne prennent pas les mesures de sécurité qui s’imposent pour prévenir la perte, le vol ou la fuite d’informations. Une première mesure à prendre dans ces situations est le cryptage de toutes les informations stockées sur des supports externes de mémoire. Ce qui suit sont les politiques de sécurité avancées comme le contrôle d’accès aux données et le contrôle des supports externes de stockage.
Les entreprises ont la responsabilité de protéger les données des clients, un aspect qui est devenu très important aujourd’hui, quand on est exposé à bien des dangers comme le vol d’identité ou la fraude bancaire. La faute des mesures de sécurité affecte non seulement les clients, mais aussi la compagnie, parce que la confiance du publique se diminue après des tels incidents et l’image de marque est endommagée.
Un laptop volé met en danger les données personnelles de 10.000 étudiants
L’Université de Connecticut a rapporté le vol d’un laptop qui contenait les informations personnelles et les numéros de sécurité sociale de 10.200 étudiants qui avaient candidé pour participer au campus régional entre 2004 et 2010. Les représentants officiels disent que personne n’a pas essayé de se connecter aux systèmes informatiques de l’Université jusqu’ici.
L’Université regrette l’incident et offre à payer pour la surveillance des comptes affectés pour les prochaines deux années. La police universitaire a démarré une enquete pour trouver le coupable.
Plus d’informations sur: http://www.hartfordbusiness.com/news14462.html
Attaque sur le système informatique militaire des Etats-Unis, confirmé
« La plus significative brèche sur les ordinateurs militaires des Etats-Unis » s’est produite en 2008, quand un agent de l’intelligence étrangere a branché un dispositif flash pour infecter les ordinateurs, incluant les uns utilisés par le Commandement Central pour surveiller les territoites de combat d’Irak et Afganistan.
Le périphérique a été connecté à un laptop d’une base militaire située au Moyen Orient, « d’où les données pouvaient être transférées vers des serveurs sous contrôle étranger », dit William J. Lynn le 3e, secrétaire adjoint de la défense.
L’infection a été produite par un logiciel malveillant qui avait comme but de transférer les plans opérationnels dans les mains des adversaires inconnus.
Malgré le fait que cet incident a été rapporté dans la presse en 2008, la confirmation officielle est apparue dans un article publié par William J. Lynn dans la dernière édition de Foreign Affairs.
L’opération démarrée par le Pentagone pour contrer l’attaque informatique a été nommée « Buckshot Yankee » et, selon Lynn, « a marqué un point critique dans la stratégie de cyber-défense des Etats-Unis ». Bien que l’utilisation des dispositifs portables a été d’abord interdite par le Ministère de la Défense, cette interdiction a été modifiée ultérieurement.
Lynn montre que la protection des communications militaires dans les 15.000 réseaux et 7 milions dispositifs de calcul de dizaines de pays est une tâche très difficile, et « une douzaine de programmeurs peuvent, s’ils trouvent une vulnérabilité à exploiter, menacer le réseau logistique globale des Etats-Unis, voler les plans opérationnels, aveugler ses capacités de l’intelligence ou nuire sa capabilité d’envoyer des armes à la cible »
Les efforts de cyber-défense de l’armée ont été concentrés dans une seule organisation, le U.S. Cyber Command, sous la direction du général Keith Alexander. Cette division peut agir uniquement par ordre du président.
Quand même, dans le cadre législatif actuel, la défense des systèmes civiles est le devoir du Ministère de Sécurité Intérieure.
Cet incident démontre que même les systèmes informatiques les plus sécurisés peuvent être vulnérables aux ménaces posées par les dispositifs portables infectés avec des logiciels malware. La solution de ces problèmes n’est pas bloquer tous les ports et les transferts de données, mais utiliser les ports et les périphériques portables d’une manière contrôlée et sécurisée.
Pour lire plus de détails: http://www.nytimes.com/2010/08/26/technology/26cyber.html?_r=1&hp
Les rechercheurs de sécurité se préoccupent pour les Smartphones
Un article publié sur le site de darkreading confirme ce que nous avions prévu il y a longtemps: le danger d’utiliser des dispositifs mobiles en entreprise.
Les employés qui utilisent des disposititfs portables sophistiqués comme les téléphones Android, les Blackberry ou les iPhones ne s’inquiètent pas pour la sécurité du réseau. Cependant, les équipes de sécurité ne font pas grand chose pour sécuriser l’utilisation de ces périphériques. D’habitude ils prennent les mésures traditionelles de protection sans donner beaucoup d’importance à la partie mobile.
Sans les mésures de sécurisation des smartphones, les attaques en interne peuvent surgir à cause des employés ignorants et pas nécessairement à cause des employés malicieux.
Un Smartphone par exemple peut devenir un outil très puissant dans les mains d’un attaqueur: il contient des données personnelles, des microphones, un système GPS, qui peuvent être exploités pour accèder à des informations strictement confidentielles de l’entreprise.
Mais un des plus grandes problèmes pour les administrateurs des systèmes IT c’est le fait que souvent, ils ne savent pas que les employés connectent des dispositifs portables au réseau de l’entreprise.
Les rechercheurs disent que le défi c’est de trouver une manière de gerer et sécuriser les dispositifs des employés dans un environnement professionnel.
La solution? Endpoint Protector!
80.000 enregistrements confidentiels vendus sur le marché noir par un employé de Match Services
Un employé de Match Services, le partenaire officiel de ticketing de FIFA a vendu aux commerçants du marché noir les données personnelles de 80.000 clients. Les informations vendues comprennainent les noms complets, les dates de naissance et les numéros des passeports. Certains d’eux appartennaient à des personnes publiques, comme l’ancien Premier Ministre de la Suède, le directeur de la Banque Nationale de Norvège, le secretaire général de la ligue de football suèdoise et la multiple championne du monde de ski alpin Anja Parson.
L’incident a été rapporté la semaine passée et l’enquête est en cours. Jusqu’ici, les données n’ont pas été recupérées et aucune démarche judiciare n’est faite.
Plus de détails sur: http://www.worldfootballinsider.com/Story.aspx?id=33634
My Endpoint Protector App pour iPhone, iPad et IPod touch
Vous auriez pensé que la sécurité des terminaux d’une entreprise est quelque chose à être gérée seulement en interne, sur site, n’est-ce pas?
Eh bien, un développeur novateur vient de nous démontrer le contraire!
Vous vous souvenez mes billets sur My Endpoint Protector, le service Web-basé qui vous permettait de contrôler l’utilisation des dispositifs portables dans votre réseau d’entreprise ou sur vos ordinateurs à domicile? Ce service est maintenant devenu mobile!
CoSoSys vient de lancer My Endpoint Protector App, une application qui vous permet de gérer les terminaux de votre entreprise ou de vos PCs ou Macs personnels à partir de vos gadgets portables: iPhone, iPad ou iPod touch.
Voila ce que les répresentants du developpeur nous disent:
Les dispositifs lifestyle tels que les lecteurs flash USB, les téléphones et ordinateurs portables ont commencé en etant plus petits, plus portables et plus agréables que leurs prédécesseurs statiques, tout en répondant à notre besoin de communication. Pendant leur évolution, ils sont devenus plus intelligents et les plus petits, et ils ont également changé notre mode de vie. Nous pouvons avoir des présentations d’affaires sur un iPad et envoyer des emails à partir de notre iPhone tout en gardant contact avec nos amis et partenaires, alors pourquoi ne pas aller avec la tendance et offrir la possibilité de faire des tâches plus importantes de nos dispositifs mobiles, telles que la gestion de la sécurité d’un réseau d’entreprise ou celle de nos ordinateurs à la maison?
Roman Foeckl, PDG CoSoSys
My Endpoint Protector App vous permet d’être toujours en contrôle de votre sécurité des terminaux. Où que vous soyez, vous démarrez l’application et vous gérez l’utilisation des périphériques dans votre réseau!
Cette application est disponible pour un téléchargement gratuit sur le site iTunes.
Nouvelle perte de données confidentielles dans un hôpital: 800.000 personnes concernées
Un nouveau cas de perte de données personnelles attire l’attention sur les vulnérabilités des systèmes informatiques dans les hôpitaux.
Il y a deux semaines, le South Shore Hospital de Weymoth, Etats-Unis, a annoncé que les données financières et médicales de quelque 800.000 personnes ont été perdues.
Les données ont été confiées à une compagnie extérieure qui était engagée à les détruire, parce que l’hôpital n’utilisait plus ce format. Il semble que c’est cette compagnie extérieure (son nom n’a pas été divulgué) qui a fait perdre les enregistrements. Les informations perdues concernaient non seulement des patients, mais aussi des employés, professionnels medicaux, volontaires, donateurs et d’autres partenaires d’affaires de l’hôpital.
Pour lire plus sur le cas: http://www.patriotledger.com/homepage/breaking/x999357727/South-Shore-Hospital-says-patient-records-may-be-lost-by-outside-data-firm
Le créateur du botnet Butterfly, arrêté
Les autorités ont arrêté un jeune homme de 23 ans identifié comme « Iserdo » sous l’accusation d’avoir créé le kit botnet « Butterfly ». Iserdo a été retenu la semaine passée en Maribor, une ville de Slovenia.
Le kit « Butterfly » est vendu sur l’Internet pour des sommes entre $650 et $2000 et il a été utilisé pour developper des nombreux virus et botnets qui volent des informations confidentielles. Des centaines d’intitutions financières et gouvernementales aussi que des millions de compagnies privés de tout le monde sont tombées victimes au « Butterfly ».
Pour découvrir l’auteur du kit, les autorités internationelles et le FBI ont collaboré avec les compagnies Panda Security (Espagne) et Defence Intelligence (Canada), qui, après avoir étudié le code source pour prèsque deux ans, ont fourni des informations qui ont facilité l’identification d’Iserdo.
Il est encourageant de voir que les sociétés privés adoptent une position proactive et s’impliquent pour identifier les hackers et mettre une fin à la cybercriminalité. On espère que de plus en plus de compagnies vont prendre leur éxemple et vont lutter contre la criminalité dans l’éspace virtuel.
Pour lire plus de détails sur ce cas visitez le site Darkreading
Le Centre de Santé Physique et Mentale Lincoln perd 130.000 enregistrements concernant les patients
Une nouvelle perte de données aux Etats-Unis: le Centre de Santé Physique et Mentale Lincoln a exposé les données personnelles de 130.000 patients. Les données comprennaient les noms, adresses, numéros de sécurité sociale, diagnostiques et procédures des patients. Il semble que les enregistrements etaient stockés sur quelques CDs non cryptés qui avaient été envoyés au centre par FedEx. Les CDs n’ont jamais arrivé à déstination. Une enquête a été demarrée afin de trouver les CD perdus, mais les données n’ont pas été récupérées.
Il semble que les institutions qui traitent ce genre de données personnelles ne font pas beaucoup d’attention à la confidentialité de leurs patients, même si ça peut avoir des consequences très graves (vol d’identité).
Pour prévenir les pertes de données dans les hopitaux, centres médicaux ou cliniques, les spécialistes conseillent d’implémenter un logiciel de gestion et surveillance des terminaux et aussi un logiciel de cryptage des données sur les supports externes de mémoire. J’espère que les résponsables de sécurité vont faire ça une priorité afin de protéger l’identité et la confidentialité des malades.
Les cyberattacks ont commencé à viser les PME
Un article publié sur darkreading.com nous montre comment les PME deviennent de plus en plus les cibles des hackers.
Comment est-ce que les attaques se produisent? Principalement par des scams email: un employé est invité à cliquer sur un lien, il arrive à un site malicieux qui installe un virus dans son ordinateur, virus qui permet au hacker de voler des grandes sommes des comptes de l’entreprise.
Pourquoi est-ce que ça se passe? Les PME sont des cibles très faciles pour les attaqueurs. Elles n’ont pas des politiques de sécurité bien mises en place, elles n’ont pas une personne dédiée qui puisse s’occupper de la sécurité, elles n’investissent pas dans des solutions puissantes de protéction, parfois même les directeurs contournent les consignes de sécurité, mais le plus important facteur c’est le fait que les employés ne connaissent pas les règles et procédures concernant les menaces de sécurité.
Qu’est-ce qu’on conseille aux PME pour se protéger? D’abord, il faut implémenter des politiques de sécurité compréhensives pour sécuriser les informations sur les comptes bancaires, les situations financières et les listes de clients. Puis, il faut installer un logiciel de protection qu’on doit mettre à jour constamment ou s’abonner à un service de sécurité hébérgé dans le Cloud, qui coûte beaucoup moins cher et qui, si bien géré, produit des résultats similaires.
