Le système de santé Hospital Sisters a informé plus de 882 000 patients qu’une cyberattaque d’août 2023 avait entraîné une violation de données qui avait exposé leurs informations personnelles et de santé.
Fondée en 1875, HSHS travaille avec plus de 2 200 médecins et compte environ 12 000 employés. Il exploite également un réseau de cabinets de médecins et 15 hôpitaux locaux dans l’Illinois et le Wisconsin, dont deux hôpitaux pour enfants.
Le système de santé à but non lucratif a déclaré dans les notifications de violation de données envoyées aux personnes touchées que l’incident avait été découvert le 27 août 2023, après avoir détecté que l’attaquant avait eu accès au réseau de HSHS.
Après la faille de sécurité, ses systèmes ont également été touchés par une panne généralisée qui a entraîné la panne de « pratiquement tous les systèmes d’exploitation » et des systèmes téléphoniques dans les hôpitaux de l’Illinois et du Wisconsin. HSHS a également embauché des experts en sécurité externes pour enquêter sur l’attaque, évaluer son impact et aider son équipe informatique à restaurer les systèmes affectés.
« Nous accordons la priorité à la sécurité des patients alors que nous établissons un processus de restauration. Avec le soutien d’experts tiers, nous remettons nos systèmes en ligne aussi rapidement et aussi sûrement que possible », a déclaré HSHS dans un communiqué de septembre 2024. « Un système de santé de notre taille exploite des centaines d’applications système sur des milliers de serveurs, et en tant que tel, notre travail de restauration et d’investigation prendra un certain temps.
Bien que l’incident et la panne qui en résulte présentent tous les signes d’une attaque par ransomware, aucune opération de ransomware n’a revendiqué la violation.
À la suite de l’enquête médico-légale, HSHS a découvert que les attaquants avaient accédé à des fichiers sur des systèmes compromis entre le 16 et le 27 août 2023.
« Depuis, nous avons examiné ces dossiers et avisé les personnes dont les informations figuraient dans les dossiers de manière continue au fur et à mesure que notre examen se poursuivait », a-t-il déclaré.
Les informations auxquelles accèdent les acteurs de la menace à l’intérieur des systèmes de HSHS varient pour chaque personne touchée, et elles incluent une combinaison de nom, adresse, date de naissance, numéro de dossier médical, informations limitées sur le traitement, informations sur l’assurance maladie, numéro de sécurité sociale et/ou numéro de permis de conduire.
Bien que HSHS ait ajouté qu’il n’y avait aucune preuve que les informations des victimes aient été utilisées dans des tentatives de fraude ou de vol d’identité, il a averti les personnes concernées de surveiller leurs relevés de compte et leurs rapports de solvabilité pour détecter toute activité suspecte. Le système de santé offre également aux personnes touchées par la violation un an de surveillance gratuite du crédit Equifax.
Un porte-parole de HSHS n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée pour confirmer si la violation de données résultait d’une attaque de ransomware.
La semaine dernière, le Connecticut Healthcare provider Community Health Center (CHC) a alerté plus d’un million de patients 1 d’une violation de données, tandis que le New York Blood Center (NYBC), l’une des plus grandes organisations indépendantes de collecte et de distribution de sang au monde, a déclaré qu’une attaque de ransomware l’avait forcé à reprogrammer certains rendez-vous.
Plus tôt ce mois-ci, UnitedHealth a révélé qu’environ 190 millions d’Américains avaient vu leurs informations volées lors de l’attaque de ransomware Change Healthcare de l’année dernière, doublant presque les 100 millions divulgués en octobre.
Fin décembre, le département américain de la Santé et des Services sociaux (HHS) a proposé des mises à jour HIPAA pour sécuriser les données de santé des patients en réponse à une vague de violations massives de la sécurité des soins de santé.