Employé copie 9.000 enregistrements de ses collègues
Un employé du Département de Santé de Californie a pensé qu’il serait une excellente idée de copier sur une disque portable les informations personnelles appartenant à 9.000 anciens et actuels employés de l’Etat. La brèche de sécurité découverte à l’intérieur du Département implique des noms, des dates de naissance et des adresses.
Le Département de Santé déroule une enquete pour découvrir le but et l’ampleur de la brèche.
Entre le temps, le coupable est en congés administratif pour enlever les informations personnelles et il répond à toutes les questions pour permettre à comprendre l’incident.
La brèche de données a été découverte grâce à un système de détection de la sécurité, qui a alerté les résponsables sur une activité potentiellement dangereuse passée en avril. Le Département a déclare qu’ils ont enforcé leur sécurité pour prévenir de tels incidents
A-t-il une manière simple de prévenir telles brèches? Une solution de sécurité des ports et prévention des pertes de données qui puisse tracer les transferts de fichiers, en disant aux départements IT qui a copié quoi et vers quel périphérique.
Etude de sécurité – Que font les employés du Gouvernement avec une clé USB trouvée ?
La curiosité est plus forte que tout désir de sécurité ou toute peur de hackers et d’autres individus malveillants a été la conclusion d’une étude de sécurité dirigée par le Department of Homeland Security des Etats-Unis. L’étude a démontré la facilité avec laquelle les pirates et d’autres personnes en dehors des sociétés peuvent aller au-delà des firewalls et d’autres mesures de sécurité, simplement en plantant des clés USB ou des disques durs dans le bon endroit.
Le test a tenté les employés du gouvernement en laissant tomber les dites clés USB et disques durs dans les stationnements des édifices gouvernementaux et des prestataires privés qui travaillent avec le gouvernement, juste en les attendant à prendre l’appât. 60% des gens qui ont ramassé les périphériques portables les ont réellement branchés dans leurs ordinateurs du bureau. Si un logo officiel a été ajouté au dispositif, le pourcentage des installations du logiciel qu’il contenait est allé jusqu’à 90%.
L’étude complète menée par le Department of Homeland Security sera publié plus tard cette année. Pourtant, les premiers résultats misent une perspective sombre sur la sécurité des données et du réseau: la plupart des gens la viole dans une seconde pour aussi peu qu’une clé USB utilisée gratuite – le plus communes coûtent moins de 10 dollars.
Mark Rasch, directeur de la sécurité des réseaux et conseil de confidentialité pour Computer Sciences Corp une compagnie basée en Falls Church, en Virginie, a déclaré à Bloomberg:
« Il n’y a aucun dispositif connu à l’humanité qui va empêcher les gens d’être idiots. »
Cette phrase est une conclusion aussi bonne que le vieil adage: « La curiosité a tué le chat. »
Les conseils que vous devez toujours garder à l’esprit est que les clés USB, cartes de mémoire, disques durs et pratiquement tous les disques portables qu’on trouve juste autour des bureaux, que ce soit des entreprises, des ONG ou les bâtiments du gouvernement, ne sont pas dignes de confiance. Il est préférable de les mettre dans une poubelle, si vous voulez réellement les ramasser, et de vous assurer que personne d’autre ne tombe dans un tel piège.
Perte ou vol de matériel, toujours une cause importante pour les pertes de données dans le secteur de la santé
Bien qu’il existe des mesures qui peuvent être prises pour prévenir les pertes de données causées par les salariés et pour impliquer plus le personnel pour éviter de tels événements, il y a beaucoup d’incidents de sécurité causés par la perte ou le vol du matériel appartenant à l’entreprise par les membres du personnel. Ordinateurs portables, disques durs, clés USB et d’autres périphériques de stockage sont perdus ou volés sur une base quotidienne, ce qui expose les données privées de milliers de personnes au vol d’identité ou fraude, et beaucoup de tels cas se produisent dans le secteur de la santé.
Par exemple, un ordinateur qui peut contenir des informations sur 20 000 patients de l’hôpital Reid a été volé du bureau à domicile d’un employé de l’hôpital il y a quelques mois. L’ordinateur contenait quelques fichiers Medicaid et Medicare pour les patients ayant reçu des services entre 1999 et 2008.
En outre, les services de santé d’Alberta ont récemment été informés par le Dr R. Burnham et la Clinique Medical Associates de Lacombe qu’un disque dur portable, contenant des copies d’environ 1000 dossiers des clients Alberta Health Services ‘Pain Central Alberta & Rehabilitation Institute (CAPRI) a récemment été volé. Aucune preuve de que les données soient utilisées est apparue jusqu’à présent, mais la menace est toujours bien réelle.
Sony annonce la perte des données personnelles de 70 millions utilisateurs
Un article publié sur le blog de Sony le mardi, 26 avril dévoile le fait que les serveurs des services PlayStation et Qriocity ont été attaqués entre le 17 et 19 avril.
Les officiels de Sony avertissent qu’il a eu une intrusion illégale et non-autorisée au niveau de leur réseau, ce qui a mené à l’arrêt de ces services (depuis le mercredi passé) et qui a compromis les informations de certains utilisateurs. Selon Open Security Foundation, 70 millions de personnes ont été affectées.
Même si l’enquête est toujours en cours, Sony croit que l’attaqueur a obtenu le nom, l’adresse, le pays, l’adresse email, la date de naissance, l’identifiant et mot de passe pour PlayStation/Qriocity, et l’identifiant PSN en ligne. Il est possible que les données concernant les cartes de crédit (numéro de carte et date d’expiration) soient aussi compromises, mais ils n’existent pas des preuves claires dans ce sens.
Les utilisateurs sont conseillés de ne pas répondre aux demandes de données personnelles sensibles, parce que celles-ci peuvent être des tentatives de scams et de vérifier leurs comptes bancaires pour éviter les fraudes.
Les officiels de Sony regrettent l’incident et assurent qu’ils mettent tout en œuvre pour restaurer les serveurs et augmenter leur niveau de sécurité.
Clé USB contenant des données confidentielles disparue des usines Dacia
Quelques dirigeants des usines Dacia ont reçu en début d’année des emails où on leur demandait une somme considérable d’argent ou une voiture Dacia Duster à l’échange de garder silence sur les processus de fabrication de Duster. La tentative de chantage appartenait à Gheorghe M., qui avait attaché à son mail quelques fichiers sur les technologies de fabrication, pour démontrer qu’il possède les documents confidentiels.
L’homme dit qu’il a trouvé dans la cour des usines Dacia une clé qui contenait le processus de fabrication de Dacia Duster, mais qu’il n’est pas la personne qui avait entré dans le système informatique de la compagnie pour copier ces données sur la clé.
Suite à la demande juridique faite par les représentants Dacia, Gheorghe M. a été identifié, retenu et interrogé.
‘Nous l’avons identifié par des procédures spécifiques, des descentes ont été effectuées à son domicile. Nous avons trouvé des preuves de son action dans son ordinateur portable personnel. L’accusé a menacé les représentants Dacia d’envoyer les documents aux compagnies concurrentes. Lors de l’interrogatoire il a reconnu les faites ’ dit le procureur en chef de DIICOT Pitesti.
Les recherches continuent pour établir qui est la personne qui est entrée dans le système informatique de l’entreprise pour copier les documents sur la clé.
Pour prévenir le vol et les fuites de données confidentielles, qui non seulement produisent des pertes financières, mais aussi endommagent l’image de la compagnie, les experts en sécurité recommandent l’utilisation des outils logiciels pour crypter et surveiller les ports USB.
Les données personnelles de 1800 patients en danger suite à une brèche de sécurité
L’hôpital St. Vincent d’Indiannapolis, USA a envoyé des lettres pour informer 1800 patients que leurs données personnelles sont à risque après avoir découvert des actions illégales ménées par un tiers pour obtenir les logins de certains comptes email.
Ces attaques sont susceptibles d’avoir permis l’accès aux noms et informations médicales des patients.
Les officiels de l’hôpital regrettent la situation et ils assurent qu’ils prennent toutes les mesures pour empêcher que ce type d’incident se passe dans le futur.
Plus de détails ici.
L’armée des Etats-Unis interdit les disques amovibles pour prévenir les fuites de données
Les militaires americains ont reçu l’ordre de ne pas utiliser des supports amovibles de mémoire, sinon, ils risquent une poursuite au tribunal militaire.
Le commandant d’Air Force Network Operations, le majeur-général Richard Webber a transmis à toutes les organisation liées à l’Air Force d’arrêter d’utiliser les supports amovibles (CD, DVD, clé USB, etc.) sur tout système, serveur et machine stand-alone qui résident sur SIPRNET (le réseau du Departement de la Défense). Cette mesure est un des demarches pour prévenir des possibles brêches de sécurité comme celle concernant les documents publiés sur WikiLeaks (Bradley Manning dit qu’il a téléchargé des centaines milliers de fichiers sur un CD nommé ‘Lady Gaga’ avant de les transmettre à WikiLeaks).
Les dirigéants savent que cet ordre va rendre l’utilisation des données plus difficile parce que les ordinateurs contenant des données sensibles sont souvent déconnectés du réseau ou se trouvent dans des zones avec une largeur de bande réduite. Neanmoins, si on découvre quelqu’un qui continue à utiliser les disques amovibles, il sera puni conformement à la décision du tribunal militaire.
Pour lire plus: http://www.wired.com/dangerroom/2010/12/military-bans-disks-threatens-courts-martials-to-stop-new-leaks/
Perte de données à l’hôpital St Vincent de Dublin
Les officiels de St Vincent University Hospital de Dublin ont rapporté au bureau du Comissaire pour la Protection des Données la perte d’un disque dur externe qui contenait les informations médicales des patients qui ont souffert des maladies du larynx entre 2002 et 2008.
Le disque est disparu le 21 Octobre 2010. Des avis ont été affichés dans l’hôpital pour demander si quelqu’un avait vu le support de sauvegarde. On ne sait pas encore si les données étaient cryptées ou non.
Le porte-parole de l’hôpital a déclaré que cette perte n’affecte pas le processus médical et que l’institution va contacter les personnes affectées par la perte du disque.
Les officiels du bureau du Comissaire pour la Protection des Données ont déclaré qu’ils déroulent une enquête sur l’événement et qu’ils ne peuvent pas en faire des commentaires.
£2.275.000-la plus grande amende pour une perte de données
La compagnie d’assurances Zurich UK a été condamnée par la FSA (Financial Services Authority – L’authorité des Services Financiers) à payer une amende de £2.275.000 pour la perte des détails personnels de 46.000 clients.
Les données perdues contenaient des informations sur l’identité des assurés, mais aussi des détails sur les comptes bancaires, les cartes de crédit, les biens assurés et les mesures de sécurité. Elles se trouvaient sur un disque de sauvegarde non-chiffré qui a été perdu par Zurich Insurance Company South Africa Limited, une compagnie sous contrat avec Zurich UK pour traiter les données des clients.
Le disque a été perdu en août 2008, mais Zurich UK n’a été informée sur cet incident qu’une année plus tard.
FSA a pris la décision d’appliquer cette amende à cause du fait que Zurich UK n’a pas pris les mesures nécessaires pour assurer les systèmes et les contrôles efficaces pour gérer les risques liés à la sécurité des données des clients durant le processus d’outsourcing et pour prévenir la situation dans laquelle les informations perdues pouvaient être utilisées pour des infractions financières.
Un officiel de FSA attire l’attention des entreprises qui activent dans le domaine financier d’analyser les détails de cet incident et d’apprendre des erreurs faites par Zurich UK.
De tels événements peuvent se produire n’importe quand, si long que les compagnies qui traitent des données personnelles et confidentielles ne prennent pas les mesures de sécurité qui s’imposent pour prévenir la perte, le vol ou la fuite d’informations. Une première mesure à prendre dans ces situations est le cryptage de toutes les informations stockées sur des supports externes de mémoire. Ce qui suit sont les politiques de sécurité avancées comme le contrôle d’accès aux données et le contrôle des supports externes de stockage.
Les entreprises ont la responsabilité de protéger les données des clients, un aspect qui est devenu très important aujourd’hui, quand on est exposé à bien des dangers comme le vol d’identité ou la fraude bancaire. La faute des mesures de sécurité affecte non seulement les clients, mais aussi la compagnie, parce que la confiance du publique se diminue après des tels incidents et l’image de marque est endommagée.
Un laptop volé met en danger les données personnelles de 10.000 étudiants
L’Université de Connecticut a rapporté le vol d’un laptop qui contenait les informations personnelles et les numéros de sécurité sociale de 10.200 étudiants qui avaient candidé pour participer au campus régional entre 2004 et 2010. Les représentants officiels disent que personne n’a pas essayé de se connecter aux systèmes informatiques de l’Université jusqu’ici.
L’Université regrette l’incident et offre à payer pour la surveillance des comptes affectés pour les prochaines deux années. La police universitaire a démarré une enquete pour trouver le coupable.
Plus d’informations sur: http://www.hartfordbusiness.com/news14462.html
