Le procureur général James obtient 450 000 dollars de la part d'une société médicale fournissant des services dans l'ouest de l'État de New York pour n'avoir pas protégé les données des patients

NEW YORK - Le procureur général de New York, Letitia James, a obtenu aujourd'hui 450 000 dollars de la part de US Radiology Specialists, Inc. (US Radiology) pour ne pas avoir protégé les données personnelles et médicales de ses patients. US Radiology travaille en partenariat avec des établissements de tout le pays, dont le Windsong Radiology Group, qui possède six bureaux dans l'ouest de l'État de New York, et agit en tant que prestataire de services pour ces établissements. Une enquête menée par le bureau du procureur général (OAG) a révélé que US Radiology n'avait pas donné la priorité à la mise à niveau de son matériel, ce qui a exposé son réseau à une vulnérabilité connue, entraînant une attaque par ransomware qui a touché plus de 92 000 New-Yorkais. À la suite de l'accord conclu aujourd'hui, US Radiology a accepté de payer 450 000 dollars de pénalités à New York, de mettre à jour son infrastructure informatique, de sécuriser correctement ses réseaux et de mettre à jour ses politiques en matière de sécurité des données.

"Lorsque les patients se rendent dans un établissement médical, ils méritent d'être assurés que leurs informations personnelles ne seront pas compromises pendant qu'ils reçoivent des soins", a déclaré le procureur général James. "US Radiology n'a pas protégé les données des New-Yorkais et était vulnérable aux attaques en raison d'un équipement obsolète. Face à l'augmentation des cyberattaques et des escroqueries de plus en plus sophistiquées visant à voler des données privées, j'exhorte toutes les entreprises à procéder aux mises à niveau et aux corrections de sécurité nécessaires de leur matériel et de leurs systèmes informatiques. Mon bureau continuera à veiller à ce que les entreprises ne négligent pas leurs responsabilités légales en matière de protection des informations privées des New-Yorkais.

US Radiology est un grand groupe privé de radiologie qui fournit des services gérés à un grand nombre de ses entreprises partenaires, dont le Windsong Radiology Group, qui possède six établissements dans l'ouest de l'État de New York. US Radiology n'a pas rapidement mis à jour son pare-feu pour se protéger, ainsi que les réseaux de ses entreprises partenaires, contre les cybermenaces. En décembre 2021, un acteur menaçant a accédé au réseau de US Radiology et a volé les informations personnelles et médicales de 198 260 patients, dont les données de 92 540 New-Yorkais. Les informations volées comprenaient les noms, les dates de naissance, les numéros de sécurité sociale, les numéros de permis de conduire, les numéros de passeport, les identifiants des patients, les dates de service, les noms des fournisseurs, les types d'examens radiologiques, les diagnostics et/ou les numéros d'identification de l'assurance maladie.

L'enquête du BVG a conclu que US Radiology n'avait pas adopté de pratiques raisonnables en matière de sécurité des données pour protéger les informations personnelles des patients en ne protégeant pas son pare-feu d'une vulnérabilité connue.    

Dans le cadre de l'accord conclu aujourd'hui, US Radiology a accepté de payer 450 000 dollars de pénalités et d'adopter des pratiques supplémentaires en matière de sécurité des données afin de renforcer son réseau :

• Améliorer et maintenir son programme écrit de sécurité de l'information qui garantit la sécurité, l'intégrité et la confidentialité des informations personnelles des patients ;
• Création et mise en œuvre d'un programme de gestion des actifs informatiques permettant d'identifier, de signaler et de hiérarchiser le remplacement ou la mise à jour des actifs informatiques ;
• le cryptage des informations personnelles des patients qu'il recueille, stocke, transmet et/ou conserve ;
• l'élaboration et le maintien d'un programme de tests de pénétration qui identifie et corrige régulièrement toutes les vulnérabilités en matière de sécurité détectées lors des tests ; et
• Mettre en œuvre des politiques et des procédures visant à supprimer définitivement les données à caractère personnel de leurs patients lorsqu'il n'y a pas d'objectif commercial raisonnable de les conserver.

L'accord conclu aujourd'hui s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises responsables de leurs mauvaises pratiques en matière de sécurité des données. En octobre, le procureur général James a obtenu 350 000 dollars de la société de soins de santé Personal Touch de Long Island pour n'avoir pas sécurisé les données de 300 000 New-Yorkais. Au début du mois, le procureur général James et une coalition de plusieurs États ont obtenu 49,5 millions de dollars de la part de la société Blackbaud, spécialisée dans l'informatique dématérialisée, pour une violation de données survenue en 2020 et exposant les données de milliers d'utilisateurs. En septembre, le procureur général James a conclu un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants. En mai également, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière. En octobre 2022, le procureur général James a annoncé un accord de 1,9 million de dollars avec le propriétaire de SHEIN et Zoetop pour n'avoir pas géré correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs.

Cette affaire a été traitée par le procureur général adjoint Marc Montgomery et le chef de bureau adjoint Clark Russell du Bureau de l'Internet et de la Technologie, sous la supervision du chef de bureau Kim Berger. Le Bureau de l'Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le procureur général adjoint Chris D'Angelo. La division de la justice économique est supervisée par la première vice-procureure générale Jennifer Levy.