Un trust NHS de l'Essex confirme une violation par Qilin deux ans plus tard

Un trust NHS de l'Essex confirme une violation par Qilin deux ans plus tard

Un trust NHS de l'Essex est le dernier organisme de santé en date à confirmer que des dossiers patients ont été dérobés lors d'une attaque par rançongiciel Qilin, une révélation qui survient environ deux ans après que le groupe a frappé pour la première fois les systèmes du NHS. Le problème croissant de la protection des données patients face aux violations par rançongiciel au sein du NHS n'est plus seulement une question technique pour les équipes informatiques hospitalières. Pour les patients dont les dossiers ont été dérobés, le compte à rebours en matière de fraude potentielle, d'hameçonnage et d'usurpation d'identité est déjà lancé depuis bien longtemps.

Cette révélation nous rappelle que les incidents de rançongiciel dans le secteur de la santé se déroulent rarement selon un calendrier bien ordonné. Les victimes sont identifiées par vagues, les notifications arrivent tardivement, et l'ampleur exacte de ce qui a été volé peut prendre des mois, parfois des années, à être établie.

Quels trusts NHS ont confirmé le vol de dossiers

Le groupe Qilin a initialement ciblé le fournisseur du NHS Synnovis en juin 2024, perturbant les services de transfusion sanguine et les opérations de pathologie dans plusieurs hôpitaux londoniens, dont le King's College Hospital et le Guy's and St Thomas'. Cette attaque a entraîné l'annulation d'opérations et contraint les cliniciens à travailler sans accès aux résultats d'examens critiques.

La confirmation du trust de l'Essex représente un élargissement de cette empreinte. Alors que les hôpitaux continuent d'auditer leurs systèmes et de recouper les dépôts de données volées, de plus en plus de trusts parviennent au point où ils peuvent officiellement informer les patients concernés. Les catégories de données impliquées dans ce type de violations au sein du NHS incluent généralement les noms, les dates de naissance, les numéros NHS, les notes cliniques, les résultats d'examens et, dans certains cas, des informations financières liées aux comptes des patients.

Ce qui rend ce calendrier si préoccupant, c'est que les patients désormais informés ont été exposés à une utilisation malveillante potentielle pendant jusqu'à deux ans sans le savoir. Les dossiers médicaux volés ne périment pas comme les numéros de carte bancaire. Ils conservent leur valeur sur les marchés criminels car ils contiennent des informations personnelles immuables qui ne peuvent être modifiées.

Pourquoi les dossiers médicaux sont une cible de haute valeur pour les rançongiciels

Les dossiers médicaux atteignent régulièrement des prix plus élevés sur les forums criminels que les seules informations bancaires. Un seul dossier médical peut contenir tout ce dont un fraudeur a besoin pour commettre une usurpation d'identité, y compris les informations d'assurance, les antécédents médicamenteux et les coordonnées des proches. Pour les opérateurs de rançongiciels comme Qilin, les organismes de santé offrent une double incitation : la pression de la perturbation pour payer rapidement (parce que les opérations cliniques dépendent des données en direct) et un ensemble de données hautement commercialisable à vendre si la rançon n'est pas payée.

Le NHS est une cible particulièrement attrayante en raison de son échelle énorme, de l'hétérogénéité de ses systèmes entre les trusts et du fait que les fournisseurs tiers constituent souvent le maillon le plus faible. L'attaque contre Synnovis a précisément démontré ce schéma. Plutôt que de s'introduire directement dans un hôpital, les attaquants ont compromis un fournisseur profondément intégré à de multiples réseaux hospitaliers.

Les attaques d'ingénierie sociale découlent naturellement de ce type de violation. Une fois que les attaquants détiennent des données patients vérifiées, ils peuvent élaborer des messages d'hameçonnage ou des appels de hameçonnage vocal très convaincants, une tactique observée dans d'autres incidents très médiatisés. Dans l'attaque de hameçonnage vocal contre Cushman & Wakefield où ShinyHunters a revendiqué 500 000 enregistrements, des données organisationnelles volées ont été utilisées pour donner de la crédibilité à des appels frauduleux ciblant le personnel. Les patients du NHS sont confrontés à un risque similaire lorsque leurs informations de santé personnelles tombent entre des mains criminelles.

Comment les patients peuvent se protéger lorsqu'ils utilisent les portails en ligne du NHS

Pour la plupart des patients, la question immédiate est pratique : que puis-je réellement faire à ce sujet ? La réponse commence par reconnaître que vos propres habitudes d'accès comptent, même si la violation s'est produite du côté du fournisseur.

Les patients du NHS gèrent de plus en plus leurs rendez-vous, leurs résultats d'examens et leurs prescriptions renouvelables via des plateformes comme l'application NHS et Patient Access. Ces portails contiennent des données cliniques sensibles, et s'y connecter via des réseaux non sécurisés ou partagés crée un point d'exposition supplémentaire en plus des risques qui existent au sein de la propre infrastructure du NHS.

Premièrement, vérifiez si vous avez reçu une notification de violation de la part de votre trust. Si c'est le cas, prenez-la au sérieux et surveillez vos comptes pour détecter toute activité inhabituelle, y compris les factures médicales inattendues, les demandes d'assurance ou les demandes de vérification d'identité que vous n'avez pas initiées.

Deuxièmement, utilisez des mots de passe forts et uniques pour chaque compte de santé et activez l'authentification à deux facteurs lorsque le service le permet. Les attaques de bourrage d'identifiants, où les attaquants utilisent des noms d'utilisateur et des mots de passe issus d'une violation pour accéder à des comptes ailleurs, sont une conséquence courante des grands vols de données de santé.

Troisièmement, méfiez-vous de tout contact non sollicité prétendant provenir du NHS et vous demandant de vérifier vos informations personnelles. Les communications légitimes du NHS ne vous demanderont pas de mots de passe ni d'informations financières par téléphone ou par e-mail.

Bonnes pratiques de chiffrement et de VPN pour les données médicales sur les Wi-Fi publics

Si vous accédez régulièrement aux portails du NHS ou à d'autres comptes de santé en voyage ou en utilisant un Wi-Fi public, chiffrer votre connexion est une mesure simple qui réduit un risque réel. Les réseaux publics dans les cafés, les bibliothèques, les hôpitaux et les centres de transport ne sont pas sécurisés, et le trafic qui y transite peut être intercepté.

Utiliser un VPN réputé crée un tunnel chiffré entre votre appareil et Internet, ce qui rend beaucoup plus difficile pour quiconque sur le même réseau de capturer vos identifiants de connexion ou vos jetons de session. Cela ne protège pas contre les violations qui se produisent au sein des propres systèmes du NHS, mais cela ferme une voie de vol opportuniste.

Au-delà de l'utilisation d'un VPN, maintenir à jour le système d'exploitation et les applications de votre appareil corrige les vulnérabilités que les logiciels malveillants exploitent pour intercepter les données avant même que le chiffrement ne s'applique. Le chiffrement intégral du disque sur votre téléphone ou ordinateur portable signifie que si votre appareil est perdu ou volé, vos données de connexion NHS mises en cache ne sont pas immédiatement lisibles.

Ce que cela signifie pour vous

Le bilan croissant des violations du NHS par Qilin est une crise de divulgation au ralenti. Les trusts sont encore en train de cartographier ce qui a été dérobé, et les patients qui ont été touchés il y a des années ne reçoivent que maintenant confirmation. Cet écart crée une longue fenêtre durant laquelle les dossiers volés peuvent circuler sans que les victimes en soient conscientes.

La chose la plus importante à retenir de cette situation est que la protection des données patients face aux violations par rançongiciel au sein du NHS n'est pas passive. Vous ne pouvez pas empêcher un groupe de rançongiciel d'attaquer un fournisseur hospitalier. Vous pouvez cependant réduire ce que les attaquants peuvent faire avec vos données une fois qu'elles sont compromises.

Commencez par auditer les plateformes NHS et de santé sur lesquelles vous avez des comptes, assurez-vous que chacun possède un mot de passe unique et une authentification à deux facteurs, et traitez toute communication non sollicitée liée à la santé avec un scepticisme accru. Lorsque vous vous connectez à ces plateformes loin de chez vous, utilisez une connexion chiffrée. Revoir régulièrement vos propres habitudes de sécurité des données est la réponse la plus directe à un environnement où les violations de données de santé à grande échelle sont une réalité récurrente, et non un événement rare.