CCPA et Zero Trust Security pour les informations personnelles : santé et éducation

Le Loi californienne sur la confidentialité des consommateurs est entrée en vigueur le 1er juillet 2020, soumettant les entreprises à de nouvelles normes réglementaires en matière de manutention Informations personnelles identifiables (PII) des habitants de l'État le plus peuplé du pays.

À l'instar du RGPD, l'échéance a suscité beaucoup d'attente. Les organisations sont peut-être mieux préparées qu'elles ne l'étaient en 2018 au RGPD, mais quelques éléments clés ont changé.

Pourquoi la protection de la vie privée est-elle toujours une préoccupation majeure ? Dans la nouvelle ère de la quarantaine, nous sommes aujourd'hui confrontés à :

• télécommande tout: la collaboration dans le cloud (y compris le traitement des informations personnelles) est la nouvelle norme, nécessitant une sécurité cloud et une sécurité des terminaux appropriées
• Double rançon avec exfiltration de données: de plus en plus d'attaquants exfiltrent les données des clients des entreprises et (si la rançon n'est pas retenue) extorquent les consommateurs directement par le biais de bitcoins, ce qui fait souvent la une des journaux.

Qu'est-ce que cela signifie pour les entreprises ? Une visibilité accrue et une incitation accrue à payer une rançon encore plus élevée pour éviter les sanctions liées à la législation sur la protection de la vie privée et les recours collectifs.

La valeur des PII

Beaucoup d'attaquants et ransomware dès le début, ils ne savaient pas ce qu'ils recherchaient ; ils voulaient juste une bouchée et essayaient de l'exploiter. Aujourd'hui, les acteurs malveillants consultent activement des sites spécifiques pour des banques, des cabinets d'avocats ou des prestataires de soins de santé, et ils comprennent pourquoi ces informations sont précieuses, et cela est en grande partie lié aux lois sur la confidentialité.

Quelle est la valeur des données personnelles ?

• Les dommages et intérêts versés par les entreprises victimes de violations de données dans le cadre de recours collectifs intentés contre le CCPA devraient inclure 100 à 750 dollars par résident californien (il y a près de 40 millions de dollars au total) et incident, ou des dommages réels (selon le montant le plus élevé), et toute autre réparation jugée appropriée par le tribunal.
• Cette menace peut sembler représenter moins de 4 % du chiffre d'affaires annuel en raison d'une amende en vertu du RGPD infligée par l'ICO au Royaume-Uni, mais pensez aux années de litiges coûteux qui ont été nécessaires pour parvenir à un règlement.

Imaginez : si votre entreprise fait l'objet d'une violation, les attaquants peuvent ajouter des amendes à votre rançon et vous êtes incité à payer, car au moins vous éviterez d'être exposé aux régulateurs et aux recours collectifs, dont la défense coûtera encore de nombreuses années et des millions de dollars.

Les lois sont bien intentionnées, mais elles incitent fortement les attaquants à mettre les entreprises sur le feu s'ils parviennent à accrocher un institut de santé ou une école en Californie ou une banque n'importe où. La confidentialité et les données des consommateurs sont une monnaie d'une telle valeur que si un attaquant sait ce qu'il possède, il l'exploitera pour chaque centime qu'il vaut.

Cibles vulnérables : santé et éducation

Les entreprises telles que les secteurs de la santé et de l'enseignement qui comptent un grand nombre de clients et d'employés et dont une grande partie de leurs informations d'identification personnelle sont exposées à des risques importants.

Quelle est la menace ?

• Les deux font déjà l'objet d'un examen minutieux depuis des années pour des raisons de confidentialité liées aux informations personnelles, par le biais de réglementations telles que la HIPAA dans les soins de santé et la FERPA dans l'éducation (et maintenant la CCPA).
• Maintenant que l'enseignement à distance est devenu la norme et que les dossiers médicaux sont devenus largement électroniques, les systèmes de connexion sont connectés via le Épique, les attaquants peuvent facilement se déplacer entre les systèmes s'il n'y en a pas segmentation du réseau politiques d'accès mises en place pour l'empêcher.
• Dans un contexte de pandémie mondiale et de recherches sur les vaccins en cours, le besoin en matière de recherche et de soins de santé pour continuer à fonctionner est encore plus stratégique, et potentiellement plus lucratif pour les attaquants de rançongiciels, comme nous l'avons vu avec des résultats sur le Organisation mondiale de la santé (OMS), et Centres de test de vaccins contre la COVID-19.

Il n'est donc pas surprenant que les secteurs de la santé et de l'enseignement soient si fréquemment touchés par des violations.

Sécurité Zero Trust avec Illumio

Un client récent d'Illumio d'une grande école de médecine proposant un enseignement à distance a cherché à mieux sécuriser ses données contre d'éventuelles attaques, en empêchant la propagation des violations des informations personnelles avec segmentation du réseau.

La segmentation du réseau est un contrôle essentiel pour sécuriser PII, en isolant les applications avec les données des patients ou des clients. Mise en œuvre Confiance zéro les politiques de sécurité limitent l'accès aux parties autorisées dans un but commercial légitime et empêchent l'attaquant d'augmenter ses privilèges pour se déplacer librement sur le réseau vers les données les plus précieuses. Le client a d'abord pensé à utiliser des pare-feux, mais la sécurité du réseau avec un pare-feu interne n'a pas pu répondre à la demande du cloud.

« Il était primordial de pouvoir appliquer les règles politiques de manière efficace et sûre, car nous disposons d'un si grand nombre de personnes et de systèmes. Avec les pare-feux, cela peut prendre des mois », explique le responsable informatique de l'école. « Vous devez utiliser le contrôle des modifications. Si le matériel tombe en panne, vous mettez en danger l'ensemble du centre de données. Cela crée des points de défaillance et de complexité, et met à rude épreuve le personnel du réseau. Chaque nouvelle base de données nécessite une coordination. »

L'équipe a choisi une approche logicielle avec Illumio.

« Nous étions intéressés par la microsegmentation, mais nous ne voulions pas utiliser les ACL sur l'infrastructure réseau, ce qui nécessiterait un environnement de test et des fenêtres de panne. Dans le même temps, notre équipe de sécurité souhaitait commencer à utiliser les fonctionnalités de sécurité natives de notre Serveurs Windows. Illumio ASP a coché toutes les cases pour les deux implémentations. C'était notre premier et dernier choix. Cela nous permet de voir tous les flux de communication dans notre environnement de production en direct et de tester les règles de pare-feu sans faire face à des pannes. »

Illumio aide les secteurs de la santé, des universités et d'autres secteurs critiques à protéger leurs informations personnelles grâce à une meilleure microsegmentation qui dissocie la sécurité Zero Trust des contraintes du réseau. Pour en savoir plus sur le parcours d'une école de santé vers une meilleure sécurité du cloud pour l'enseignement à distance, consultez l'étude de cas ici.