Posté le janvier 18, 2021 à 16:45
LES DONNÉES MÉDICAUX DES EMPLOYÉS DE NORFOLK SOUTHERN AND UPS ONT ÉTÉ DIVULGUÉS PAR DES HACKERS
Un rapport récent a révélé qu’une attaque suspecte de logiciel de rançon a exposé les données d’un employé de UPS et de Norfolk Southern.
Les deux entreprises ont souligné qu’elles ont enquêté sur l’incident qui a conduit à la compromission des données de santé des employés après que les acteurs de la menace aient exposé en ligne les dossiers médicaux des cheminots et des chauffeurs de camion.
L’exposition des données a été faite par le prestataire de santé au travail Taylor Made Diagnostics le 8 janvier, mais on ne sait pas exactement combien de données des employés de Norfolk Southern et d’UPS ont été réellement touchées par la violation.
Cependant, les données exposées comprennent de multiples dossiers de santé des deux sociétés ainsi que de plusieurs autres petites entreprises, des établissements de défense américains et des agences gouvernementales américaines, comme ce fut le cas récemment en décembre dernier.
L’incidence du piratage informatique a augmenté dans le secteur de la santé
Les données exposées comprennent des rapports de tests de dépistage d’alcool et de drogues pour les travailleurs du chemin de fer et les camionneurs de plusieurs entreprises. Elles comprennent également les examens médicaux prescrits par le ministère américain des transports (DOT).
Il existe également de nombreux documents contenant des informations personnelles telles que des scanners du permis de conduire des employés, leurs noms complets, leurs numéros de sécurité sociale, ainsi que leurs adresses.
Depuis l’année dernière, les groupes de ransomware ont intensifié leurs efforts dans le secteur des soins de santé, notamment en matière de logistique et de transport.
Le mois dernier seulement, 1,5 million de données de patients ont été compromis à la suite d’incidents de piratage informatique de 37 établissements de santé américains.
Cependant, la violation des données de Taylor Made montre que les entreprises de transport et de logistique sont confrontées à de graves problèmes de sécurité qui peuvent dépasser leurs systèmes. Par conséquent, la nécessité pour ces entreprises de sécuriser les données de leurs employés n’a pas été plus importante que maintenant, alors que le niveau des menaces est élevé.
Les deux entreprises se penchent sur la question
La société de livraison de colis UPS a fait part de ses commentaires sur la question. Le porte-parole de la société, Mathew O’Connor, a déclaré qu’UPS se penchait sur la question mais refuse de discuter du nombre de chauffeurs de la société qui sont concernés par cette violation.
« La sécurité des informations personnelles des employés est de la plus haute importance », a-t-il déclaré.
Le porte-parole de Norfolk Southern, Jeff DeGraff, a également commenté l’incident et a réitéré que la sécurité des données de ses employés est toujours la priorité de l’entreprise.
« La sécurité des données de nos employés est une priorité pour Norfolk Southern et une exigence pour nos fournisseurs », a-t-il déclaré.
M. DeGraff a également déclaré que l’entreprise ne disposait d’aucune information supplémentaire sur la violation, mais qu’elle examinait la question.
La compagnie ferroviaire opère actuellement dans 22 États des États-Unis et emploie environ 25 000 personnes.
Les tiers augmentent le risque de violation des données
De plus, ces entreprises sont confrontées au risque d’exposition aux vulnérabilités provenant des tiers. Elles confient généralement à des tiers le dépistage aléatoire de l’alcool et des drogues chez leurs employés. En conséquence, les données des employés sont nécessaires à ces tiers, ce qui augmente le risque de violation des données.
Dave Osiecki, directeur général et président de Scopelitis Transportation Consulting, a estimé que les entreprises de camionnage ont la responsabilité de s’assurer que leurs données sont en sécurité entre les mains des tiers.
Il a souligné qu’en tant qu’employeur, il est de la responsabilité de l’entreprise de s’assurer que les données des employés sont traitées avec le plus grand soin. Comme ce sont eux qui fournissent les données aux tiers, les employeurs sont également responsables des données. Ainsi, à son avis, l’employeur d’un chauffeur de CDL doit prendre des mesures pour sécuriser les données des employés, y compris celles qui sont transmises à des tiers.
Les mêmes hackers ont également violé OmniTRAX
La directrice générale de Taylor Made Diagnostics, Caroline Taylor, n’a pas répondu lorsqu’un courriel lui a été envoyé pour commenter l’incident.
Les hackers qui sont probablement responsables de l’incident de piratage ont également été impliqués dans une récente attaque de logiciel de rançon sur l’opérateur de chemin de fer à courte distance OmniTRAX. Le groupe a également attaqué d’autres prestataires de soins de santé depuis le début de l’année.
Norfolk Southern a son siège dans la région de Hampton Roads en Virginie, où Taylor Made Diagnostics a deux cliniques.
Taylor Made Diagnostics a des clients et des clients dans un large éventail d’organisations américaines. Il s’agit notamment du Special Naval Warfare Development Group et des services secrets américains. Le premier est aussi largement appelé « SEAL Team Six », qui était responsable de la recherche, de la capture et de la direction d’Oussama Ben Laden.
