Les malheurs et les incertitudes des cyberattaques unifiées de Los Angeles pourraient durer longtemps, selon les experts

cyber-attaque

Crédit : domaine public CC0

Les retraités du système scolaire de Baltimore ont des problèmes avec les paiements de pension et de soins de santé deux ans après une attaque de ransomware. L’identité d’un enfant à Toledo, Ohio, est utilisée pour demander un crédit des mois après une cyberattaque contre des écoles là-bas. L’année dernière, un district scolaire de taille moyenne du Texas a payé plus d’un demi-million de dollars en rançon pour restaurer l’accès à son système et empêcher la publication de données sensibles en ligne.

Les répercussions d’une attaque sur les systèmes scolaires vulnérables peuvent être fortes, durables et coûteuses, c’est pourquoi les experts en cybersécurité mettent en garde contre l’attente d’une résolution rapide et propre du piratage massif de septembre sur le district scolaire unifié de Los Angeles.

Les incertitudes concernant les données volées persisteront longtemps non seulement pour le district mais aussi pour ceux dont les informations personnelles ont été publiées sur le dark web, ont-ils déclaré.

Bien que le surintendant de LA, Alberto Carvalho, ait exprimé sa confiance la semaine dernière dans le fait que le syndicat criminel à l’origine de l’attaque n’a en grande partie pas réussi à voler des données précieuses, les implications et l’étendue complète de la violation restent difficiles à connaître.

Les établissements d’enseignement ont été de plus en plus ciblés ces dernières années, en partie parce qu’ils disposent de plusieurs portails publics et d’applications tierces accessibles aux étudiants, aux parents et à la communauté. Et la prévention coûteuse de la cybersécurité doit rivaliser avec d’autres besoins pressants – devenant un fardeau financier et de personnel pour les petits districts et une tâche extraordinairement compliquée pour un géant tel que LA Unified, qui gère les dossiers de millions d’étudiants, d’employés et de sous-traitants actuels et anciens.

“Les élèves font confiance au district scolaire pour protéger leurs informations et il est clair qu’ils n’y sont pas parvenus”, a déclaré Runa Sandvik, chercheuse en sécurité et fondatrice de Granitt, une startup qui se concentre sur la sécurité des journalistes et des personnes à risque. le monde.

Les experts avertissent qu’il n’y a aucune raison de faire confiance aux cybercriminels quant à la quantité de données qu’ils ont déclaré avoir volées. De plus, les données pourraient être exploitées longtemps dans le futur, de manière difficile à détecter, et encore moins à prévenir.

“Malheureusement, inverser une violation de données, c’est comme remettre du dentifrice dans le tube”, a déclaré Jeremy Kirk, rédacteur en chef de la sécurité et de la technologie pour Information Security Media Group.

L’attaque LA Unified a été découverte le samedi 3 septembre, pendant le week-end de la fête du Travail. Les techniciens ont rapidement arrêté les systèmes informatiques pour atténuer l’intrusion, bien que certaines perturbations se poursuivent plus d’un mois plus tard.

Environ la moitié des serveurs étaient cryptés dans la division des installations, ce qui les rendait inaccessibles. Pourtant, les responsables du district pensent que la réaction rapide a évité le vol de données généralisé. Le système scolaire a refusé de payer une rançon et, par conséquent, les pirates ont publié environ 500 gigaoctets de données de district en ligne.

Le nombre d’individus dont les données personnelles sont compromises semble être faible, comparé aux millions de personnes dont les données sont conservées dans les systèmes de district. Cependant, les responsables n’étaient pas prêts la semaine dernière à dire combien de personnes sont touchées. Cette analyse est en cours.

Les données en jeu dans toute attaque du système scolaire incluraient les noms, adresses, dates de naissance et numéros de sécurité sociale – une affaire plus grave que, disons, un piratage “éphémère” d’un magasin de matériaux de construction qui donnerait des noms et des numéros de carte de crédit, a déclaré John Childs, directeur des solutions de sécurité de l’information pour DynTek, un service national de conseil en technologies de l’information basé à Irvine.

LA Unified ne collecte pas les numéros de sécurité sociale des étudiants, et les responsables ont déclaré qu’aucune base de données des employés stockant les informations sur la paie, les banques, la sécurité sociale ou les informations médicales n’avait été consultée, mais certains sous-traitants travaillant dans la division des installations n’ont pas eu cette chance.

Même sans numéro de sécurité sociale, les opérateurs Internet peuvent commencer à créer le profil d’un individu, même d’un enfant, qui peut être utilisé frauduleusement, tôt ou tard. Les données perdues comprenaient la date de naissance et l’adresse de nombreux étudiants inscrits à un moment donné de 2013 à 2016 et de certains employés au cours de cette période.

Ces victimes pourraient avoir besoin de “toujours regarder par-dessus leur dos”, a déclaré Childs, qui n’a pas analysé la violation de LA Unified. “Ce n’est pas seulement un risque alors que les autorités se concentrent sur la violation.”

Des mois après une récente violation de données dans les écoles de Toledo, les parents d’un élève du primaire ont signalé que quelqu’un avait volé l’identité de leur fils pour demander un prêt automobile, une carte de crédit et des tarifs réduits pour les services publics.

Les effets d’entraînement comprennent des litiges potentiels contre le système scolaire pour ne pas avoir protégé les données. LA Unified pourrait faire face à des risques similaires, ont déclaré des experts.

Sandvik a noté que LA Unified avait été averti des vulnérabilités lors d’un audit interne de 2020 : “Ce qui me frappe vraiment, c’est que vous avez un district scolaire qui est conscient depuis un certain temps de certaines lacunes qu’il a et ne les a pas corrigées.”

Les responsables du district ont déclaré qu’ils essaieraient d’atteindre ceux dont les informations ont été volées et de proposer une surveillance du crédit, bien que certains experts aient déclaré qu’ils doutaient que la surveillance du crédit apporte une grande valeur. Carvalho a annoncé une série de mesures pour prévenir de futures attaques, tout en reconnaissant que le district n’a pas donné suite aux principales recommandations de l’audit de sécurité de 2020.

Les responsables disent qu’ils ne savent pas comment les pirates sont entrés, mais les remèdes incluront l’authentification multifacteur, qui nécessite généralement plus d’un mot de passe. Le district limitera également l’utilisation d’applications extérieures qui créent une porte dérobée potentielle dans le système.

Un exemple typique est la violation de données au début de cette année chez Illuminate, une entreprise qui fournit des services éducatifs. Cette violation a affecté les districts scolaires à travers le pays, y compris LA Unified. Plus de 4 700 étudiants de LA Unified inscrits entre 2008 et 2010 ont vu leurs données personnelles compromises, a déclaré le district à une publication technologique en réponse à une demande de loi sur les archives publiques. Illuminate a envoyé des avis aux personnes concernées depuis LA Unified en mai, selon les archives de l’État.

Bien que le plus grand piratage de LA Unified en septembre ait été remarquable en raison de la taille du système scolaire, certains experts ont minimisé son ampleur.

“Ce n’est pas génial”, a déclaré le technologue en sécurité Bruce Schneier, à propos du piratage. “Mais dans l’ordre des choses, ne terrifiez pas les gens. Ce genre de bêtises arrive tout le temps.”

Les hôpitaux ont été “fermés” par des cyberattaques, a déclaré Schneier, qui écrit le blog Schneier sur la sécurité “Cela semble plus grand”. Une cyberattaque la semaine dernière sur CommonSpirit Health, la deuxième plus grande chaîne d’hôpitaux à but non lucratif du pays, a forcé “des détournements d’ambulance, des fermetures de système et des changements de rendez-vous avec des patients”, y compris pour des procédures critiques, a rapporté le Washington Post.

Mais pour les écoles qui manquent de ressources, les attaques peuvent être financièrement douloureuses et difficiles à gérer.

Une attaque contre les écoles de Baltimore en 2020 a entraîné des coûts de plus de 8 millions de dollars, dont 900 000 dollars pour la réparation du système d’information des étudiants, 860 000 dollars pour l’enquête, 50 000 dollars pour les relations publiques et 11 500 dollars pour les services de négociation de rançongiciels. Des problèmes majeurs persistent avec les paiements de pension et d’assurance maladie pour les retraités. Certains retraités ont reçu des avis de recouvrement pour “sous-paiement” des primes d’assurance, une facture s’élevant à 20 000 $, même s’ils ont déclaré avoir payé ce que le district exigeait.

Carvalho a déclaré que le coût en dollars de LA Unified à ce jour est négligeable – essentiellement les heures supplémentaires des employés – en raison des services pro bono et de l’aide d’autres agences gouvernementales et des forces de l’ordre. Mais il y aura des coûts importants à l’avenir pour empêcher une autre attaque, a-t-il déclaré.

Le district dispose également d’une assurance contre les cyberattaques, mais la prise de mesures préventives appropriées pourrait affecter le paiement d’une réclamation, ont déclaré des experts.

L’assurance contre les cyberattaques a eu des conséquences imprévues, a déclaré Brett Callow, analyste des menaces pour la société de sécurité numérique Emsisoft.

“Je pense que nous nous sommes retrouvés dans un cercle vicieux ces dernières années avec des demandes plus importantes conduisant les organisations à souscrire plus d’assurance, ce qui les a amenées à être capables et disposées à payer plus en cas de coup”, a déclaré Callow.

Certains districts, dont le district scolaire indépendant de Judson à San Antonio, ont conclu qu’ils n’avaient pas d’alternative au paiement d’une rançon. L’année dernière, les systèmes informatiques de ce district ont été cryptés par des pirates et des données privées ont été exportées en masse. Le district de 23 000 étudiants a payé 547 000 $.

Cette année, les pirates ont attaqué au moins 27 districts scolaires américains et 28 collèges, a déclaré Callow. Au moins 36 de ces organisations se sont fait voler des données et les ont publiées en ligne, et au moins deux districts et un collège ont payé les attaquants, a déclaré Callow.

Les ressources peuvent limiter ce qu’un district fait pour prévenir et répondre à une attaque, a déclaré le surintendant Stephen Nellman du district scolaire de Centinela Valley Union, qui a été ciblé l’année dernière.

“Lorsqu’un district scolaire est frappé par une attaque, il n’y a pas de bureau de soutien à l’échelle de l’État qui coordonne une réponse”, a déclaré Nellman. “Chaque district est censé coordonner sa propre réponse, et tous les districts n’ont pas l’expertise ou le financement pour réagir en temps opportun.”

Centinela Valley a déclaré que la couverture d’assurance a porté ses fruits car l’assureur exige que le district maintienne un niveau élevé de sécurité du réseau, qui est audité chaque année.

Les districts scolaires sont souvent réticents à reconnaître ou à révéler les détails d’une attaque, y compris s’ils ont payé une rançon.

Rialto Unified a refusé de répondre aux questions sur une attaque récente en raison de la “sensibilité” du problème.

“Dans notre district, nous avons créé un plan de relance et nous avons suivi les conseils de l’équipe de cybercriminalité”, a déclaré la porte-parole du district, Syeda Jafri. “Nous poursuivons les mises à jour et les processus de sécurité.”


Les cyberattaquants LA Unified demandent une rançon


2022 Los Angeles Times.

Distribué par Tribune Content Agency, LLC.

Citation: Les malheurs et les incertitudes des cyberattaques unifiées de LA pourraient durer longtemps, selon les experts (11 octobre 2022) récupéré le 11 octobre 2022 sur https://techxplore.com/news/2022-10-la-cyberattack-woes-uncertainties-long- durable.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.