£2.275.000-la plus grande amende pour une perte de données
La compagnie d’assurances Zurich UK a été condamnée par la FSA (Financial Services Authority – L’authorité des Services Financiers) à payer une amende de £2.275.000 pour la perte des détails personnels de 46.000 clients.
Les données perdues contenaient des informations sur l’identité des assurés, mais aussi des détails sur les comptes bancaires, les cartes de crédit, les biens assurés et les mesures de sécurité. Elles se trouvaient sur un disque de sauvegarde non-chiffré qui a été perdu par Zurich Insurance Company South Africa Limited, une compagnie sous contrat avec Zurich UK pour traiter les données des clients.
Le disque a été perdu en août 2008, mais Zurich UK n’a été informée sur cet incident qu’une année plus tard.
FSA a pris la décision d’appliquer cette amende à cause du fait que Zurich UK n’a pas pris les mesures nécessaires pour assurer les systèmes et les contrôles efficaces pour gérer les risques liés à la sécurité des données des clients durant le processus d’outsourcing et pour prévenir la situation dans laquelle les informations perdues pouvaient être utilisées pour des infractions financières.
Un officiel de FSA attire l’attention des entreprises qui activent dans le domaine financier d’analyser les détails de cet incident et d’apprendre des erreurs faites par Zurich UK.
De tels événements peuvent se produire n’importe quand, si long que les compagnies qui traitent des données personnelles et confidentielles ne prennent pas les mesures de sécurité qui s’imposent pour prévenir la perte, le vol ou la fuite d’informations. Une première mesure à prendre dans ces situations est le cryptage de toutes les informations stockées sur des supports externes de mémoire. Ce qui suit sont les politiques de sécurité avancées comme le contrôle d’accès aux données et le contrôle des supports externes de stockage.
Les entreprises ont la responsabilité de protéger les données des clients, un aspect qui est devenu très important aujourd’hui, quand on est exposé à bien des dangers comme le vol d’identité ou la fraude bancaire. La faute des mesures de sécurité affecte non seulement les clients, mais aussi la compagnie, parce que la confiance du publique se diminue après des tels incidents et l’image de marque est endommagée.
Un laptop volé met en danger les données personnelles de 10.000 étudiants
L’Université de Connecticut a rapporté le vol d’un laptop qui contenait les informations personnelles et les numéros de sécurité sociale de 10.200 étudiants qui avaient candidé pour participer au campus régional entre 2004 et 2010. Les représentants officiels disent que personne n’a pas essayé de se connecter aux systèmes informatiques de l’Université jusqu’ici.
L’Université regrette l’incident et offre à payer pour la surveillance des comptes affectés pour les prochaines deux années. La police universitaire a démarré une enquete pour trouver le coupable.
Plus d’informations sur: http://www.hartfordbusiness.com/news14462.html
Attaque sur le système informatique militaire des Etats-Unis, confirmé
« La plus significative brèche sur les ordinateurs militaires des Etats-Unis » s’est produite en 2008, quand un agent de l’intelligence étrangere a branché un dispositif flash pour infecter les ordinateurs, incluant les uns utilisés par le Commandement Central pour surveiller les territoites de combat d’Irak et Afganistan.
Le périphérique a été connecté à un laptop d’une base militaire située au Moyen Orient, « d’où les données pouvaient être transférées vers des serveurs sous contrôle étranger », dit William J. Lynn le 3e, secrétaire adjoint de la défense.
L’infection a été produite par un logiciel malveillant qui avait comme but de transférer les plans opérationnels dans les mains des adversaires inconnus.
Malgré le fait que cet incident a été rapporté dans la presse en 2008, la confirmation officielle est apparue dans un article publié par William J. Lynn dans la dernière édition de Foreign Affairs.
L’opération démarrée par le Pentagone pour contrer l’attaque informatique a été nommée « Buckshot Yankee » et, selon Lynn, « a marqué un point critique dans la stratégie de cyber-défense des Etats-Unis ». Bien que l’utilisation des dispositifs portables a été d’abord interdite par le Ministère de la Défense, cette interdiction a été modifiée ultérieurement.
Lynn montre que la protection des communications militaires dans les 15.000 réseaux et 7 milions dispositifs de calcul de dizaines de pays est une tâche très difficile, et « une douzaine de programmeurs peuvent, s’ils trouvent une vulnérabilité à exploiter, menacer le réseau logistique globale des Etats-Unis, voler les plans opérationnels, aveugler ses capacités de l’intelligence ou nuire sa capabilité d’envoyer des armes à la cible »
Les efforts de cyber-défense de l’armée ont été concentrés dans une seule organisation, le U.S. Cyber Command, sous la direction du général Keith Alexander. Cette division peut agir uniquement par ordre du président.
Quand même, dans le cadre législatif actuel, la défense des systèmes civiles est le devoir du Ministère de Sécurité Intérieure.
Cet incident démontre que même les systèmes informatiques les plus sécurisés peuvent être vulnérables aux ménaces posées par les dispositifs portables infectés avec des logiciels malware. La solution de ces problèmes n’est pas bloquer tous les ports et les transferts de données, mais utiliser les ports et les périphériques portables d’une manière contrôlée et sécurisée.
Pour lire plus de détails: http://www.nytimes.com/2010/08/26/technology/26cyber.html?_r=1&hp
80.000 enregistrements confidentiels vendus sur le marché noir par un employé de Match Services
Un employé de Match Services, le partenaire officiel de ticketing de FIFA a vendu aux commerçants du marché noir les données personnelles de 80.000 clients. Les informations vendues comprennainent les noms complets, les dates de naissance et les numéros des passeports. Certains d’eux appartennaient à des personnes publiques, comme l’ancien Premier Ministre de la Suède, le directeur de la Banque Nationale de Norvège, le secretaire général de la ligue de football suèdoise et la multiple championne du monde de ski alpin Anja Parson.
L’incident a été rapporté la semaine passée et l’enquête est en cours. Jusqu’ici, les données n’ont pas été recupérées et aucune démarche judiciare n’est faite.
Plus de détails sur: http://www.worldfootballinsider.com/Story.aspx?id=33634
Nouvelle perte de données confidentielles dans un hôpital: 800.000 personnes concernées
Un nouveau cas de perte de données personnelles attire l’attention sur les vulnérabilités des systèmes informatiques dans les hôpitaux.
Il y a deux semaines, le South Shore Hospital de Weymoth, Etats-Unis, a annoncé que les données financières et médicales de quelque 800.000 personnes ont été perdues.
Les données ont été confiées à une compagnie extérieure qui était engagée à les détruire, parce que l’hôpital n’utilisait plus ce format. Il semble que c’est cette compagnie extérieure (son nom n’a pas été divulgué) qui a fait perdre les enregistrements. Les informations perdues concernaient non seulement des patients, mais aussi des employés, professionnels medicaux, volontaires, donateurs et d’autres partenaires d’affaires de l’hôpital.
Pour lire plus sur le cas: http://www.patriotledger.com/homepage/breaking/x999357727/South-Shore-Hospital-says-patient-records-may-be-lost-by-outside-data-firm
Le Centre de Santé Physique et Mentale Lincoln perd 130.000 enregistrements concernant les patients
Une nouvelle perte de données aux Etats-Unis: le Centre de Santé Physique et Mentale Lincoln a exposé les données personnelles de 130.000 patients. Les données comprennaient les noms, adresses, numéros de sécurité sociale, diagnostiques et procédures des patients. Il semble que les enregistrements etaient stockés sur quelques CDs non cryptés qui avaient été envoyés au centre par FedEx. Les CDs n’ont jamais arrivé à déstination. Une enquête a été demarrée afin de trouver les CD perdus, mais les données n’ont pas été récupérées.
Il semble que les institutions qui traitent ce genre de données personnelles ne font pas beaucoup d’attention à la confidentialité de leurs patients, même si ça peut avoir des consequences très graves (vol d’identité).
Pour prévenir les pertes de données dans les hopitaux, centres médicaux ou cliniques, les spécialistes conseillent d’implémenter un logiciel de gestion et surveillance des terminaux et aussi un logiciel de cryptage des données sur les supports externes de mémoire. J’espère que les résponsables de sécurité vont faire ça une priorité afin de protéger l’identité et la confidentialité des malades.
Les cyberattacks ont commencé à viser les PME
Un article publié sur darkreading.com nous montre comment les PME deviennent de plus en plus les cibles des hackers.
Comment est-ce que les attaques se produisent? Principalement par des scams email: un employé est invité à cliquer sur un lien, il arrive à un site malicieux qui installe un virus dans son ordinateur, virus qui permet au hacker de voler des grandes sommes des comptes de l’entreprise.
Pourquoi est-ce que ça se passe? Les PME sont des cibles très faciles pour les attaqueurs. Elles n’ont pas des politiques de sécurité bien mises en place, elles n’ont pas une personne dédiée qui puisse s’occupper de la sécurité, elles n’investissent pas dans des solutions puissantes de protéction, parfois même les directeurs contournent les consignes de sécurité, mais le plus important facteur c’est le fait que les employés ne connaissent pas les règles et procédures concernant les menaces de sécurité.
Qu’est-ce qu’on conseille aux PME pour se protéger? D’abord, il faut implémenter des politiques de sécurité compréhensives pour sécuriser les informations sur les comptes bancaires, les situations financières et les listes de clients. Puis, il faut installer un logiciel de protection qu’on doit mettre à jour constamment ou s’abonner à un service de sécurité hébérgé dans le Cloud, qui coûte beaucoup moins cher et qui, si bien géré, produit des résultats similaires.
Combien depense-t-on pour les brèches de données bancaires?
Selon une étude realisée aux Etats-Unis par Javelin Strategy&Research, les brèches de données bancaires ont couté en 2009 environ 253 million de dollars.
Cette somme a été utilisée uniquement pour remplacer plus de 70 millions de cartes bancaires, dont 39 millions etaient de cartes de débit et 33.3 millions etaient de cartes de crédit.
Un autre aspect révélé par cette étude est le fait que 26% des consommateurs americains ont reçu une notification de brèche de données d’une compagnie qui tratait leurs données personnelles et bancaires et 11.5% des personnes notifiées ont été les victimes du vol d’identité.
Vous pouvez lire plus sur les résultats de cette étude sur le site:
https://www.infosecisland.com/blogview/4468–Credit-Card-Data-Breaches-Cost-Big-Bucks.html
Les données de 24.000 citoyens du Royaume-Uni exposées à cause d’un laptop volé
Nous avions pensé que la hausse des amendes pour les brèches de sécurité au Royaume-Uni allait encourager les entreprises à prendre des mesures pour protéger les données de leurs clients. Mais les choses ne sont pas si simples.
Le vol d’un laptop qui hébérgeait les données de 24.000 clients de la compagnie de formation A4e a été rapporté récémment. Les données y stockées n’etaient pas sécurisées où cryptées.
Les representants de la compagnie disent que les informations perdues ne contenaient des données bancaires et que le risque d’utilisation illégale est bas. Quand meme, l’entreprise offre ses excuses pour l’incident et assure qu’ils prennent des mesures pour protéger les intérêts des personnes affectées.
Pour le moment, les données n’ont pas été récupérées.
Pour ceux qui veulent sécuriser les informations confidentielles de leurs compagnies et clients, il existe Endpoint Protector
7500 enregistrements des employés féderaux perdus
Le Département de l’Intérieur des Etats-Unis a découvert recemment la perte d’un CD qui contenait les informations confidentielles de 7500 de ses employés.
L’incident a été notifié, mais on n’a pas encore récupéré les données. Egalement, aucune action en justice n’a été démarée.
