Le procureur général James conclut un accord avec un prestataire de soins de santé de la vallée de l'Hudson pour investir 1,2 million de dollars dans la protection des données des patients

Une attaque de ransomware contre Refuah Health a compromis les données de 250 000 New-Yorkais

NEW YORK - Le procureur général de New York, Letitia James, a annoncé aujourd'hui la conclusion d'un accord avec un prestataire de soins de santé de la vallée de l'Hudson, Refuah Health Center, Inc. (Refuah), pour avoir omis de protéger les informations de santé personnelles et privées de ses patients. Le bureau du procureur général (OAG) a constaté que Refuah n'avait pas mis en place les contrôles appropriés pour protéger et limiter l'accès aux données sensibles, notamment en ne cryptant pas les informations des patients et en n'utilisant pas l'authentification multifactorielle. En raison de la mauvaise sécurité des données du Refuah, le prestataire de soins de santé a subi une attaque par ransomware qui a compromis les informations personnelles et privées d'environ 250 000 New-Yorkais. L'accord conclu aujourd'hui oblige Refuah à investir 1,2 million de dollars pour renforcer sa cybersécurité et à payer 450 000 dollars de pénalités et de frais.  

"Les New-Yorkais doivent recevoir des soins médicaux et avoir confiance dans la sécurité de leurs données personnelles et de santé", a déclaré le procureur général James. "Cet accord garantira que Refuah prend les mesures appropriées pour protéger les données des patients tout en fournissant des soins de santé abordables. Une solide sécurité des données est indispensable à l'ère numérique actuelle et mon bureau continuera à protéger les données des New-Yorkais contre les entreprises dont la cybersécurité est inadéquate".

Refuah est un prestataire de soins de santé qui exploite trois établissements et cinq camionnettes médicales mobiles dans la vallée de l'Hudson. En mai 2021, Refuah a subi une attaque par ransomware au cours de laquelle le cyber-attaquant a pu accéder aux données de milliers de patients. Le Refuah a déterminé que les attaquants ont eu accès à des fichiers contenant des noms, des adresses, des numéros de téléphone, des numéros de sécurité sociale, des numéros de permis de conduire, des dates de naissance, des numéros de comptes financiers, des numéros d'assurance médicale et diverses informations relatives à la santé. L'enquête du BVG a conclu que les attaquants ont pu accéder à ces données parce que le Refuah n'a pas adopté les pratiques appropriées en matière de sécurité des données pour protéger les informations personnelles et médicales des patients. Le Refuah n'a pas mis hors service les comptes d'utilisateurs inactifs, n'a pas procédé à la rotation des identifiants des comptes d'utilisateurs, n'a pas limité l'accès des employés aux seules ressources et données nécessaires à leurs activités, n'a pas utilisé l'authentification multifactorielle et n'a pas crypté les informations relatives aux patients.  

À la suite de l'accord conclu aujourd'hui, Refuah a accepté d'investir 1,2 million de dollars pour développer et maintenir des programmes de sécurité de l'information plus solides afin de mieux protéger les données des patients. L'accord exige également que le prestataire de soins de santé.. : 

  • Maintenir un programme complet de sécurité de l'information conçu pour protéger la sécurité, la confidentialité et l'intégrité des informations relatives aux consommateurs ;  
  • Mettre en œuvre et maintenir des politiques et des procédures qui limitent l'accès aux informations relatives aux consommateurs ;  
  • Exiger l'utilisation d'une authentification multifactorielle pour l'accès à distance aux ressources et aux données ; 
  • Effectuer une rotation régulière des informations d'identification utilisées pour accéder aux ressources et aux données ; 
  • Effectuer des audits au moins deux fois par an pour s'assurer que les utilisateurs n'ont accès qu'aux ressources et aux données nécessaires à l'exercice de leurs fonctions ;  
  • Crypter toutes les informations relatives aux consommateurs, qu'elles soient stockées ou transmises ;  
  • mettre en œuvre des contrôles pour surveiller et enregistrer toutes les activités opérationnelles et de sécurité des réseaux et systèmes de l'entreprise ; et  
  • Élaborer, mettre en œuvre et tenir à jour un plan global de réaction aux incidents.   

Refuah doit également payer 450 000 dollars de pénalités et de frais à l'État, dont 100 000 dollars seront suspendus lorsque l'entreprise aura dépensé 1,2 million de dollars pour développer et maintenir son programme de sécurité de l'information. 

L'accord conclu aujourd'hui s'inscrit dans la continuité des efforts déployés par le procureur général James pour protéger les informations personnelles des New-Yorkais et tenir les entreprises responsables de leurs mauvaises pratiques en matière de sécurité des données. En décembre, le procureur général James a obtenu 400 000 dollars d'un fournisseur d'assurance dentaire, Healthplex, Inc. pour ne pas avoir protégé les informations privées des consommateurs. En novembre, le procureur général James a obtenu 450 000 dollars de U.S. Radiology pour ne pas avoir protégé les données des patients. En octobre, le procureur général James a obtenu 350 000 dollars de la société de soins de santé Personal Touch de Long Island pour n'avoir pas protégé les données de 300 000 New-Yorkais. Toujours en octobre, le procureur général James et une coalition de plusieurs États ont obtenu 49,5 millions de dollars de la part de la société Blackbaud, spécialisée dans l'informatique en nuage, pour une violation de données survenue en 2020 et exposant les données de milliers d'utilisateurs. En septembre, le procureur général James a conclu un accord avec le Marymount Manhattan College pour investir 3,5 millions de dollars dans la protection des données en ligne des étudiants. En mai, le procureur général James a récupéré 550 000 dollars auprès d'une société de gestion médicale qui n'avait pas protégé les données de ses patients. En avril, le procureur général James a publié un guide complet sur la sécurité des données afin d'aider les entreprises à renforcer leurs pratiques en la matière.  

Cette affaire a été traitée par le Senior Enforcement Counsel Jordan Adler et le Deputy Bureau Chief Clark Russell du Bureau of Internet and Technology, sous la supervision du Bureau Chief Kim Berger. Le Bureau de l'internet et de la technologie fait partie de la Division de la justice économique, dirigée par le procureur général adjoint Chris D'Angelo. La division de la justice économique est supervisée par la première vice-procureure générale Jennifer Levy.