Le procureur général James obtient 200 000 dollars d'un cabinet d'avocats qui n'a pas protégé les données personnelles des New-Yorkais

Le cabinet d'avocats HPMB n'a pas mis en œuvre les mesures de sécurité des données visant à protéger les informations de santé des New-Yorkais contre les violations de données

NEW YORK - Le procureur général de New York, Letitia James, a obtenu 200 000 dollars du cabinet d'avocats Heidell, Pittoni, Murphy & Bach LLP (HPMB) pour ne pas avoir protégé les données personnelles et médicales des New-Yorkais. Les mauvaises mesures de sécurité des données de HPMB l'ont rendu vulnérable à une violation de données en 2021 qui a compromis les informations privées d'environ 114 000 patients, dont plus de 60 000 New-Yorkais. Le cabinet d'avocats représente les hôpitaux de la région de New York et conserve des informations privées sensibles sur les patients, notamment leur date de naissance, leur numéro de sécurité sociale, leur assurance maladie, leurs antécédents médicaux et/ou les informations relatives à leur traitement médical. Les manquements de HPMB en matière de sécurité des données violaient non seulement la législation de l'État, mais aussi la loi HIPAA, qui exigeait que HPMB adhère à certaines pratiques avancées en matière de sécurité des données. En vertu de l'accord, HPMB doit payer 200 000 dollars de pénalités à l'État et renforcer ses mesures de cybersécurité pour protéger les informations personnelles et privées des consommateurs en matière de santé. 

"Les New-Yorkais ne devraient pas avoir à craindre que leur vie privée soit violée et que leurs informations sensibles soient mal traitées", a déclaré James, procureur général de l'État de New York. "Les informations confidentielles sur les patients doivent être traitées avec soin et sécurisées en ligne afin de protéger les New-Yorkais contre l'usurpation d'identité et la fraude. Les institutions chargées de protéger ces informations ont la responsabilité de bien faire les choses et de tenir les autorités et les New-Yorkais informés des violations. Les entreprises peuvent et doivent renforcer leurs mesures de sécurité des données pour protéger les données numériques des consommateurs, sinon elles peuvent s'attendre à recevoir des nouvelles de mon bureau".

En novembre 2021, un pirate a pu exploiter une vulnérabilité dans le serveur de messagerie Microsoft Exchange de la DGPS pour accéder aux systèmes de la DGPS. Des correctifs pour cette vulnérabilité avaient été publiés par Microsoft plusieurs mois auparavant, mais la DGPS n'avait pas appliqué ces correctifs en temps voulu, laissant cette vulnérabilité exposée à une exploitation potentielle. En décembre 2021, un attaquant a déployé un logiciel malveillant sur les systèmes de la DGPSA, ce qui a entraîné une interruption du système de messagerie électronique de la DGPSA. Au cours de l'enquête qui a suivi, la DGPSA a découvert que des dizaines de milliers de fichiers avaient été potentiellement extraits des systèmes de la DGPSA. Une analyse de ces fichiers a permis de déterminer que les informations électroniques sur la santé et/ou les informations privées - y compris les noms, les dates de naissance, les numéros de sécurité sociale et/ou les données sur la santé - de 114 979 personnes, dont 61 438 résidents de New York, avaient probablement été exposées à la suite de l'attaque. 

En mai 2022, la DGPS a commencé à informer les consommateurs concernés dont les informations personnelles ont été compromises au cours de l'incident. Le bureau du procureur général a déterminé que HPMB n'avait pas adopté de pratiques raisonnables pour protéger les informations personnelles des consommateurs dans plusieurs domaines. En particulier, la DGPSA n'a pas adopté plusieurs mesures exigées par la loi HIPAA, à laquelle la DGPSA est soumise en raison de ses relations d'affaires avec les hôpitaux et l'hôpital, y compris la réalisation d'évaluations régulières des risques de ses systèmes, le cryptage des informations privées sur ses serveurs et l'adoption de pratiques appropriées de minimisation des données. 

En vertu de l'accord conclu aujourd'hui, HPMB doit verser à l'État des pénalités d'un montant de 200 000 dollars. HPMB est également tenue d'adopter des mesures pour mieux protéger les informations personnelles et privées sur la santé des patients de ses clients à l'avenir, notamment :

  • Maintenir un programme complet de sécurité de l'information comprenant des mises à jour régulières pour suivre l'évolution de la technologie et des menaces à la sécurité, et signaler les risques de sécurité à la direction de l'entreprise ;

  • le cryptage des informations privées et sanitaires qu'il recueille, utilise, stocke et conserve ;

  • Mettre en place un système centralisé d'enregistrement et de surveillance de l'activité du réseau, y compris des journaux facilement accessibles pendant une période d'au moins 90 jours et stockés pendant au moins un an à compter de la date à laquelle l'activité a été enregistrée ;

  • Établir un programme raisonnable de gestion des correctifs, y compris un contrôle approprié des mises à jour requises, la supervision du programme et la formation des employés ;

  • Développer un programme de tests de pénétration qui inclut des tests réguliers de la sécurité du réseau de la DGPS ; et,

  • mettre à jour ses pratiques en matière de collecte et de conservation des données, notamment en ne collectant les données que dans la mesure minimale nécessaire à l'exécution de fonctions commerciales légitimes et en supprimant définitivement toutes ces données lorsqu'il n'existe plus d'objectif commercial ou juridique raisonnable justifiant la conservation de ces informations.

Cette affaire a été traitée par l'assistante du procureur général Laura Mumm et le chef de bureau adjoint Clark Russell, avec l'assistance spéciale de l'analyste Nishaant Goswamy, du bureau de l'Internet et de la technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint en chef Chris D'Angelo et supervisée par la première vice-procureure générale Jennifer Levy.