C'est ce que révèle un nouveau rapport du Bureau du commissaire à l'information et la protection de la vie privée, qui indique aussi que le public n'a pas été informé assez rapidement de l'ampleur de l'attaque.

Selon l'enquête, les données de la majorité des citoyens de Terre-Neve-et-Labrador, une province de 530 000 habitants, ont été volées par le réseau criminel Hive pendant l'attaque par rançongiciel. Le gouvernement provincial avait indiqué en décembre dernier que l'attaque avait fait seulement 58 000 victimes.

L'enquêter Sean Murray affirme qu'il est impossible de calculer le nombre de victimes, mais qu'il pourrait bien inclure des travailleurs ayant oeuvré au sein du système de santé depuis 1993, ainsi que tout le monde ayant subi un test de dépistage à la COVID-19. Environ 200 gigaoctets de données ont été volés. Les informations n'étaient pas chiffrées.

Ces données hautement sensibles comprennent les informations bancaires et le numéro d'assurance sociale des patients et des employés, ainsi que leur adresse et leur date de naissance.

Manque de préparatifs

En octobre et novembre 2021, lors de l'attaque, les travailleurs de la santé ont dû revenir au papier ou aux réseaux informatiques locaux. Des milliers de chirurgies ont été annulées et la chimiothérapie a été brièvement interrompue.

Cependant, le rapport indique que ces perturbations auraient pu être évitées. Le système de santé était mal préparé pour l'attaque, qui était prévisible, voire presque inévitable, selon les enquêteurs.

La sécurité de notre système de santé, au moment de l'attaque, n'était pas assez bien protégée et ne respectait pas les normes internationales en cybersécurité reconnues par industrie , écrit Sean Murray.

Comme Radio-Canada l'a rapporté en mai dernier, une note d'information soumise au gouvernement en 2020 avait prévenu des risques graves d'une cyberattaque et des impacts importants qu'une telle attaque entraînerait.

Malgré cet avertissement, rédigé par le Newfoundland and Labrador Centre for Health Information (NLCHI), soit l'agence responsable de la sécurité des systèmes informatiques du système de santé, la cybersécurité n'a pas été suffisamment renforcée. Sean Murray n'a pas donné d'exemple concret de lacunes de sécurité.

Sean Murray explique également que le gouvernement aurait brisé la loi en gardant pendant des décennies et sans raison légitime des données telles que des numéros d'assurance sociale.

Il aurait aussi brisé la loi en ne divulguant pas dans un délai raisonnable des informations pertinentes sur l'attaque. Selon Sean Murray, le gouvernement avait confirmé dans les jours suivant l'incident qu'il s'agissait d'une attaque par rançongiciel et que des données avaient été volées, mais avait hésité de rendre ces informations publiques.

Le ministre de la Justice, John Hogan, a enfin confirmé en mars que le groupe Hive avait eu accès aux systèmes informatiques du gouvernement grâce à un rançongiciel, en utilisant les données du compte d’un utilisateur légitime.

On ignore toujours la façon dont le groupe Hive a eu accès à ces données. Un rançongiciel est un type de maliciel qui bloque l’accès aux systèmes jusqu’à ce que l’utilisateur verse une somme d’argent.

John Hogan refuse de dire si la province a payé la rançon exigée par le réseau criminel Hive, disant suivre les conseils des services juridiques.

Des progrès réalisés depuis l'attaque

Si le rapport de 115 pages détaille 34 conclusions sur les lacunes de NLCHI, des régies de la santé et du ministère de la Santé, il ne compte que six recommandations. Selon Sean Murray, depuis la cyberattaque, de nombreuses nouvelles mesures ont été prises pour renforcer la sécurité des systèmes et éviter une nouvelle attaque.

Depuis la cyberattaque, les quatre régies régionales de santé de Terre-Neuve-et-Labrador ont été fusionnées en un organisme provincial. Selon le rapport, la Régie provinciale de santé devrait continuer à réviser ses systèmes de cybersécurité, effectuer régulièrement des vérifications de ces systèmes et créer un nouveau poste de directeur de la protection de la vie privée. Ce dernier s'assurerait que les politiques en matière de cybersécurité et de protection de la vie privée soient respectées.

En mai dernier, l'ex-ministre de la Santé, John Haggie, a dit que cyberattaque avait coûté environ 16 millions de dollars au gouvernement provincial. Ce dernier avait dépensé au moins 5 millions sur des services de surveillance du crédit pour les employés et les patients.