Le cryptage n'aurait pas arrêté la violation de données d'Anthem

La récente violation de données chez l'assureur maladie Anthem a permis à des criminels d'accéder aux données personnelles et aux numéros de sécurité sociale de plus de 80 millions de personnes, le plus grand vol de données de soins de santé à ce jour. Les données médicales et de paiement n'ont pas été compromises, mais les noms, adresses, anniversaires et numéros de sécurité sociale consultés peuvent être utilisés par des criminels pour commettre divers types de fraude.





De nombreuses personnes ont été surprises d'apprendre que ces données sensibles n'étaient pas cryptées et que le mandat fédéral de sécurisation des données relatives à la santé, HIPAA, ne l'exigeait pas. En fait, HIPAA n'encourage fortement que le cryptage. Les organisations qui choisissent de ne pas utiliser le chiffrement sont censées documenter les raisons pour lesquelles elles ne le font pas et mettre en œuvre une mesure alternative équivalente si elle est raisonnable et appropriée. L'imprécision de cette exigence est au cœur des recours collectifs et autres poursuites intentées contre Anthem.

Mais même si Anthem avait utilisé le cryptage, les données auraient pu être compromises. Le chiffrement n'est qu'une partie de l'arsenal que les entreprises doivent déployer pour sécuriser les données sensibles. Le chiffrement est idéal pour sécuriser les données en transit et au repos, mais si les informations d'identification et les clés sont compromises, il ne fait pas grand-chose pour protéger les données.

Le plus gros problème dans de nombreuses violations est que les organisations n'ont pas correctement mis en œuvre les contrôles de sécurité d'accès aux données. Ils doivent mettre en place des protections au cas où les attaquants pourraient contourner les défenses du périmètre et compromettre les informations d'identification de niveau administrateur.



C'est précisément ce qui est arrivé à Anthem, qui affirme que ses attaquants ont eu accès à au moins cinq ensembles d'informations d'identification des employés .

Il est ridiculement facile pour les cybercriminels de trouver les informations dont ils ont besoin pour compromettre presque n'importe quelle organisation. Un rapide coup d'œil aux offres d'emploi d'Anthem et aux profils LinkedIn m'a suffi pour identifier le logiciel qu'Anthem utilise pour son entrepôt de données.

À partir de là, je pourrais facilement identifier plus de 100 personnes, telles que des architectes système et des administrateurs de bases de données, qui auraient un accès privilégié à l'entrepôt de données stockant des dizaines de millions de dossiers personnels sensibles. C'était probablement la première chose que les attaquants d'Anthem ont recherchée avant de mener une campagne de phishing pour distribuer le logiciel malveillant utilisé pour récolter les informations d'identification des employés.



Un attaquant qui peut compromettre un système via les informations d'identification d'un utilisateur disposant d'un accès de niveau administrateur à l'entrepôt de données peut facilement voler plus d'informations d'identification, trouver des informations monétisables et exfiltrer des données non chiffrées.

Alors, que doivent faire les organisations pour sécuriser les données clients sensibles ? Des attaquants sophistiqués disposant de suffisamment de temps et de ressources peuvent entrer dans quelconque organisation à terme. Les cybercriminels sont pleinement conscients des compromis constants que les organisations font pour équilibrer la sécurité avec l'efficacité opérationnelle, et ils ont démontré à plusieurs reprises qu'ils sont tout à fait capables d'exploiter même les plus petites faiblesses de sécurité.

Anthem ne sera pas la dernière organisation de soins de santé à subir une violation massive. Tout comme pour le commerce de détail, de nombreuses organisations seront ciblées, car les faiblesses de sécurité sont souvent partagées par l'ensemble d'une industrie. Les organisations de soins de santé doivent réévaluer leurs pratiques de sécurité à la lumière de la violation d'Anthem afin de s'assurer qu'elles disposent de contrôles de sécurité appropriés pour protéger leurs réseaux.



Ken Westin est un analyste principal de la sécurité spécialisé dans la cybercriminalité et le renseignement sur les menaces pour une société de sécurité informatique Tripwire inc. .

cacher