Connect with us

Technologie

De Montfort, KCL, Universités de Newcastle rejoindre la liste des victimes Blackbaud

Published

on


Blackbaud, le fournisseur de services cloud basé en Caroline du Sud aux États-Unis au centre d’un incident de violation de données en cours, fait face à une pression renouvelée après que d’autres universités britanniques et un certain nombre d’organismes de bienfaisance ont averti leurs étudiants et anciens élèves que leurs informations personnelles pourraient avoir été exposées.

L’attaque ransomware sur Blackbaud a eu lieu en mai 2020, mais l’entreprise, qui prétend « pouvoir du bien social », non seulement payé ses pirates, mais gardé des informations sur l’attaque de ses clients britanniques dans le secteur de l’éducation et de la charité pendant deux mois, seulement les informer le 16 Juillet. Il n’a fait aucune autre déclaration depuis.

Il est maintenant apparu qu’en plus de l’Université de York, les données de l’Université De Montfort, du King’s College de Londres (KCL) et de l’Université de Newcastle ont été volées, ainsi que de l’Université d’Aberystwyth et de l’Université du Pays de Galles du Sud, selon la BBC; Sheffield Hallam, selon le Sheffield Star; et University College Oxford, selon les Infosecurity Magazine.

Pendant ce temps, magazine du secteur de la charité Troisième secteur a rapporté que l’organisme de bienfaisance pour sans-abri Crisis et l’organisme de bienfaisance en santé mentale Young Minds sont également victimes des pirates Blackbaud.

De Montfort, KCL et Newcastle ont informé les personnes touchées par la violation dans des courriels consultés par Computer Weekly. Les trois institutions ont déclaré qu’elles prenaient la protection des données au sérieux et étaient confiantes qu’aucun détail financier ou mot de passe n’avait été pris, mais les trois ont également confirmé qu’elles avaient pris au sérieux l’assurance de Blackbaud que les données détenues par les cybercriminels avaient été détruites après le paiement de la rançon, ce qui n’est en aucun cas une garantie.

KCL a déclaré qu’elle avait résilié son contrat avec Blackbaud, et ces trois institutions ont fait leurs propres rapports au Commissariat à l’information (ICO).

Un porte-parole de l’OIC a déclaré : « Les gens ont le droit de s’attendre à ce que les organisations traitent leurs renseignements personnels de manière sécuritaire et responsable. La société de logiciels cloud Blackbaud a signalé un incident de violation de données qui a potentiellement affecté un grand nombre d’organisations britanniques en utilisant ses services et nous faisons des enquêtes.

« Les organisations concernées devraient entrer en contact avec leurs clients pour les informer si leurs données personnelles ont été affectées. Toute personne qui s’inquiète de la façon dont ses données ont été traitées devrait d’abord soulever ces préoccupations auprès de l’organisation, puis nous faire rapport s’il n’est pas satisfait.

Jamie Akhtar, co-fondateur et PDG de CyberSmart, a ajouté : « L’éducation est l’une des industries les plus vulnérables et les moins protégées. En mai 2020, Microsoft Security Intelligence a constaté que 61 % des près de 7,7 millions de rencontres de logiciels malveillants d’entreprise provenaient de ceux du secteur de l’éducation, ce qui en fait l’industrie la plus touchée par les cyberattaques.

« Le passage à l’apprentissage en ligne et à distance en ligne a été une tendance avant même que Covide-19 et les organisations souffrent d’un manque de ressources informatiques pour la protection. L’an dernier, un test de simulation de pirates a prouvé qu’il avait réussi à 100 % à violer 50 universités à travers le pays pour accéder aux données personnelles des étudiants et du personnel, aux systèmes financiers et aux réseaux de recherche précieux.

Jonathan Knudsen, stratège principal en sécurité chez Synopsys, a ajouté : « L’incident de Blackbaud montre que la gestion du risque logiciel a une portée plus large qu’une seule organisation. Les lacunes en matière de sécurité logicielle des organisations partenaires ou fournisseurs deviennent votre propre problème lorsque vous dépendez d’eux pour la livraison de produits ou de services.

« La gestion correcte des logiciels et des risques commerciaux englobe la gestion des risques des fournisseurs externes. Il est facile de tenir les logiciels pour acquis comme faisant partie de faire des affaires, mais il est crucial de comprendre que le logiciel que nous utilisons tous est lui-même une source importante de risque et doit être géré comme n’importe quel autre risque commercial.

Pendant ce temps, les statistiques compilées par Redscan à partir d’une série de demandes de liberté de l’information (FoI) ont révélé que 54% des universités britanniques ont signalé une sorte de violation de données à l’OIC au cours des 12 derniers mois.

Dans un rapport mettant à nu l’ampleur du sous-investissement dans la sécurité dans le secteur de l’éducation, Redscan a également constaté qu’un quart des universités n’ont effectué aucun test de pénétration externe, et près de 50 % n’ont pas donné à leur personnel une formation appropriée en matière de sécurité au cours de la dernière année. Il a également constaté que 12 % d’entre nous n’offraient aucun service de sécurité, de soutien ou de formation aux étudiants.

Mark Nicholls, CTO de Redscan, a déclaré : « Les universités britanniques comptent parmi les centres d’apprentissage et de recherche les plus respectés au monde, mais notre analyse met en évidence les incohérences dans l’approche adoptée par les établissements pour protéger leur personnel, leurs étudiants etpropriété tellectual contre les dernières cybermenaces.

« Le fait qu’un si grand nombre d’universités n’offrent pas de formation en cybersécurité au personnel et aux étudiants, ni ne commandent de tests de pénétration indépendants, est préoccupant. Ce sont des éléments fondamentaux de chaque programme de sécurité et des éléments clés pour aider à prévenir les atteintes aux données.

« Même en cette période de pression budgétaire intense, les institutions doivent veiller à ce que leurs équipes de cybersécurité reçoivent le soutien dont elles ont besoin pour se défendre contre des adversaires sophistiqués. Les violations peuvent avoir un impact sérieux sur la réputation et le financement des organisations.

M. Nicholls a ajouté : « La menace que représentent les attaquants des États-nations pour les universités rend la nécessité d’améliorations encore plus cruciale. Le coût de l’omission de protéger la recherche scientifique est incommensurable.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending