Dans une histoire en développement qui a façonné le paysage de la cybersécurité, le mois de février a vu la filiale du UnitedHealth Group (UHG), Change Healthcare, être victime d’une attaque de ransomware à grande échéance orchestrée par le groupe ALPHV/BlackCat. Entre les dates du 12 et du 20 février, les coupables auraient infiltré le système de Change Healthcare et volé une estimation de quatre téraoctets de données, y compris des informations de santé protégées (PHI), impactant la sécurité potentielle d’environ 110 millions d’individus.
Cette violation sans précédent a non seulement menacé les données de santé sensibles de millions de personnes, mais a également causé des perturbations significatives dans les services de santé. Une déclaration faite par le PDG de UnitedHealthcare, Andrew Witty, lors d’une audition au Congrès en mai 2024, a révélé que la base de la violation était liée à un manque d’authentification à multiples facteurs, qui s’est transformée en une série de conséquences graves pour les patients et les fournisseurs médicaux. De manière alarmante, il a été constaté qu’après un paiement de rançon s’élevant à 22 millions de dollars, les attaquants n’ont pas encore supprimé les données volées comme promis.
Étant donné une telle ampleur et un danger potentiel, la réponse typique d’offrir des services de surveillance de crédit gratuits aux clients touchés n’était tout simplement pas suffisante. Cette violation a mis en évidence les faiblesses structurelles de la cybersécurité dans les soins de santé et a incité à une action législative, entraînant le Sénat américain à introduire de nouvelles réglementations visant à protéger les PHIs et à prévenir de futures catastrophes de même ampleur.
Ces changements réglementaires proposés ont souligné la nécessité d’un examen sérieux des cadres réglementaires précédents comme HIPAA (Health Insurance Portability and Accountability Act). Contrairement à la perception commune, HIPAA se concentre principalement sur la manipulation et les normes de confidentialité concernant les PHIs plutôt que sur leur sécurité. Les dispositions de cybersécurité de l’acte ont été vaguement définies et leur application a été discutablement laxiste.
En effet, le HIPAA réglemente comment les professionnels de la santé peuvent utiliser vos informations de santé protégées avec l’autorisation appropriée en place, mais il ne garantit pas efficacement les exigences de base dans la structure de sécurité globale de votre PHI. Cette réalité indique un écart flagrant dans la cybersécurité de la santé et souligne le besoin urgent de mesures de protection plus strictes. La récente attaque de ransomware contre Change Healthcare sert de rappel percutant de cette urgence.