Connect with us

Technologie

Une question de confiance : l’université et le fournisseur sur le crochet pour violation de données

Published

on


L’importance de se prémunir contre les menaces de cybersécurité émanant des fournisseurs et partenaires de votre organisation, ainsi que contre les menaces qui pèsent sur votre propre propriété informatique, a une fois de plus été soulignée de manière douloureuse, cette fois par la divulgation par l’Université de York qu’une quantité non confirmée de données a été volée à un service cloud tiers lors d’une attaque ransomware en mai.

La violation a d’abord été découverte chez Blackbaud, un fournisseur américain de services de gestion de la relation client cloud (CRM) aux prestataires d’enseignement supérieur, aux organisations de soins de santé et aux organismes sans but lucratif, dont York est un client. Blackbaud a déclaré qu’il a « réussi à empêcher » les cybercriminels de bloquer l’accès à son système et de chiffrer entièrement ses fichiers, et qu’il a été en mesure de les jeter.

Dans une déclaration qui comprenait les platitudes familières sur la prise de la sécurité des données « au sérieux », Blackbaud, de son propre aveu, a déclaré qu’il a non seulement payé la demande de rançon, mais a pris la parole des criminels qu’ils avaient détruit les données à la valeur nominale, et a continué à divulguer que les cybercriminels avaient retiré une copie d’un sous-ensemble de données de son environnement auto-hébergé.

Il a ensuite attendu environ deux mois pour informer York, qui utilise les services de Blackbaud pour « enregistrer l’engagement avec les membres de la communauté universitaire, y compris les anciens, le personnel et les étudiants, et les réseaux étendus et les partisans ».

Bien que les données volées ne contiennent pas de données chiffrées, de mots de passe ou de détails financiers, elles peuvent inclure des renseignements personnels de base, des numéros d’étudiants, des adresses et des coordonnées, des détails de cours, des dossiers d’engagement dans le cadre de collectes de fonds universitaires ou d’autres activités, et des détails professionnels – qui sont tous très précieux dans une attaque de phishing ciblée.

Dans sa déclaration, York a déclaré qu’elle avait accepté les assurances de Blackbaud que les données avaient été détruites sur le paiement de la rançon, mais néanmoins il avertit sa communauté de rester vigilant, et a informé le Bureau du Commissaire à l’information (ICO).

« Il n’est pas nécessaire que notre communauté prenne des mesures pour le moment », a-t-il déclaré. « En tant que pratique exemplaire, nous recommandons aux gens de rester vigilants et de signaler rapidement toute activité suspecte ou tout vol d’identité présumé aux autorités compétentes chargées de l’application de la loi.

« Nous continuerons à travailler avec Blackbaud pour enquêter sur cette question, et nous continuons à suivre les conseils de notre agent de protection des données et de notre équipe de sécurité informatique. Nous regrettons vivement les inconvénients que cette violation de données par Blackbaud a pu causer.

Les dangers de la confiance

En laissant de côté si Blackbaud avait raison de payer la rançon – pratiquement toutes les autorités disent ne pas faire, mais il faut accepter que c’est une décision qui est à la victime – la réponse à cela soulève des questions fondamentales sur la confiance dans la cybersécurité.

Dans ce cas, il faut tenir compte de la confiance apparente de Blackbaud et de York dans les cybercriminels malveillants, qui est mal avisé, et de la confiance de York dans la capacité de Blackbaud à se comporter avec responsabilité et responsabilité, ce qui est une attente un peu plus raisonnable.

Paul Bischoff, défenseur de la vie privée chez Comparitech, a déclaré : « Il n’y a aucune garantie que les criminels qui ont volé les données ont suivi et détruit les données. Le personnel et les étudiants de l’Université de York devraient être à l’affût de tentatives ciblées d’hameçonnage.

Carl Leonard, analyste principal de la sécurité chez Forcepoint, a déclaré : « Le fait qu’une rançon ait été versée rend cette situation particulièrement préoccupante – aucune organisation ne devrait être forcée de gérer l’argent pour les cybercriminels, et cela montre que l’université et ses partenaires ont beaucoup à améliorer dans la façon dont ils stockent, gèrent et protègent leurs données sensibles. »

Javvad Malik, défenseur de la sensibilisation à la sécurité à KnowBe4, a déclaré Blackbaud a également besoin de dire ce qu’il avait fallu si longtemps pour informer York. « Bien qu’il soit bon et nécessaire que l’université ait informé les personnes touchées, le fait que des personnes n’aient été informées que près de deux mois après la violation initiale est inquiétant », a-t-il dit. « Cela donne aux criminels une grande fenêtre d’opportunité pour monétiser les informations volées. »

Paul Edon, directeur principal des services techniques pour l’Europe, le Moyen-Orient et l’Afrique (EMEA) chez Tripwire, a déclaré que York n’était pas incorrect d’avoir fait confiance à un tiers pour s’occuper de ses données, mais compte tenu des faits du piratage et de la réponse retardée, il était clair qu’il y avait un décalage entre les deux organisations.

« De nombreuses universités emploient des tiers pour aider à gérer et à sécuriser leurs systèmes », a-t-il déclaré. « Il est impératif que ces tiers soient alignés sur l’université dans leurs objectifs de sécurité et qu’ils soient régulièrement audités pour s’assurer qu’ilsqu’il s’est conclu. Tout désalignement ou défaut de respecter les niveaux de service convenus peut entraîner une grave lacune dans la sécurité globale de l’institution.

La voie d’avenir de York

Edon a déclaré que tout en adoptant de nouveaux systèmes de sécurité pourrait également aider York à protéger ses actifs, il a vraiment besoin de se concentrer maintenant sur une « onnée solide de cybersécurité » pour minimiser les risques futurs, en accordant une attention particulière non seulement aux principes fondamentaux de la technologie – tels que l’antivirus, l’identité et la gestion de l’accès – mais, plus pertinent dans ce cas, à l’éducation et la formation de son personnel et les étudiants à repérer et à atténuer les menaces sur leur propre.

Leonard Forcepoint a déclaré: « L’approche traditionnelle basée sur des règles de la sécurité est beaucoup trop réactive et lente pour répondre quand il s’agit de menaces comme ransomware. Les acteurs malveillants sont constamment à la recherche de vulnérabilités et de moyens dans les réseaux, et il suffit d’une occasion pour leur donner un moyen d’entrer.

« Un changement de paradigme en matière de sécurité est nécessaire en ce qui a égard au comportement des utilisateurs, plutôt qu’aux menaces elles-mêmes. Ce n’est qu’en faisant cela que le signal peut être séparé des grandes quantités de bruit.

Kelvin Murray, analyste principal de la recherche sur les menaces sur Webroot, a déclaré que les universités étaient des cibles particulièrement tentantes pour les pirates informatiques, et que la nature tentaculaire de ces institutions, avec de multiples facultés et installations, fait de l’administration informatique et de la sécurité un défi particulier. Ensuite, il y a la question des données de recherche précieuses qui doivent être protégées, en particulier contre les acteurs de la menace soutenus par l’État.

« Un problème délicat est que les données précieuses sont sur les ordinateurs portables/ordinateurs de bureau des étudiants, ainsi que sur les serveurs universitaires, et la surveillance de l’accès et l’avantage massif des informations d’identification volées posent de réelles difficultés aux départements informatiques », a déclaré M. Murray. « Un environnement très lié ne correspond pas à la culture du partage des connaissances des universités.

« Pour atténuer les attaques futures, les équipes informatiques doivent vérifier correctement toutes les machines connectées à leurs réseaux et les données qu’elles détiennent. Dès le premier jour, une formation de sensibilisation à la sécurité devrait être mise en œuvre à l’occasion du premier jour, afin de s’assurer qu’ils sont vigilants dans l’examen des types de courriels qu’ils reçoivent.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance