Des millions de dossiers de santé personnels très sensibles sur les personnes ayant accès aux soins de santé en Colombie-Britannique ont été laissés “de manière inquiétante” vulnérables aux fuites après que l’autorité sanitaire de la province n’a pas répondu aux problèmes de sécurité ces dernières années, selon un nouveau rapport.

Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique a publié jeudi un rapport indiquant que la Provincial Health Services Authority (PHSA) était au courant du niveau d’exposition « troublant » depuis qu’elle a audité son propre système en 2019, mais n’en a pas fait assez pour y remédier. le problème.

“Il existe un énorme volume d’informations personnelles sensibles qui, si elles étaient violées, pourraient causer une liste importante de préjudices, notamment l’embarras, la perte de dignité, l’éclatement de la famille et même des dommages physiques aux personnes si elles étaient consultées de manière inappropriée”, lit-on dans le rapport du chien de garde de la vie privée.

“On s’attendrait à ce que le plus haut degré de confidentialité et de sécurité soit en place pour protéger nos informations personnelles contre de telles intrusions … Mais comme nous l’avons appris au cours de notre enquête, ce n’est pas le cas.”

La base de données contient environ 6 millions d’enregistrements

La PHSA travaille avec les régies régionales de la santé pour fournir des soins dans toute la Colombie-Britannique et supervise les hôpitaux et centres spécialisés, notamment le BC Children’s Hospital, le BC Cancer et le BC Centre for Disease Control.

Il gère une base de données appelée Panorama, qui conserve les informations sur les patients de six millions de personnes qui ont eu accès aux soins des autorités sanitaires de la Colombie-Britannique. Il comprend également des informations sur les patients décédés ou qui ont quitté la province, ainsi que sur certains patients vivant au Yukon.

Les renseignements personnels comprennent toutes sortes d’interactions avec le système de soins de santé, du statut de vaccination aux évaluations de la santé mentale en passant par un dossier sur les infections sexuellement transmissibles, y compris le VIH. Il comprend toute information sur les grossesses, y compris leur issue, ainsi que la consommation de drogue et d’alcool.

La base de données contient également les adresses et autres informations personnelles des travailleurs migrants dans la province.

Les failles de sécurité signifient que le système peut être abusé par des “mauvais acteurs”, des cybercriminels aux personnes à la recherche d’informations sur un ex.

“Il va sans dire que la nature de ces informations personnelles fait partie des données les plus sensibles et les plus volumineuses détenues à notre sujet par un organisme public”, indique le rapport.

“Chaque Britanno-Colombien devrait être troublé par ces découvertes, car cela signifie que les informations personnelles dans le système sont vulnérables aux abus et aux attaques.”

Système amélioré PHSA

Dans un communiqué, la PHSA a déclaré avoir mis à jour Panorama en juillet et s’efforce d’améliorer ses audits.

“La PHSA prend la confidentialité très au sérieux et au nom des patients, des clients et des familles de toute la Colombie-Britannique, nous prenons continuellement des mesures pour garantir que les informations sensibles et privées des personnes sont sécurisées et protégées”, a écrit le président et chef de la direction de la PHSA, David Byres.

Le rapport a trouvé de nombreux domaines où le système est vulnérable. Une préoccupation particulière était que le système n’avait pas de technologie en place pour détecter une faille de sécurité potentielle pendant qu’elle se produisait – seulement après.

“Ni une attaque malveillante ni un employé autorisé abusant de ses informations d’identification ne sont susceptibles d’être pris en flagrant délit”, indique le rapport.

Environ 4 000 personnes ont accès à Panorama, y ​​compris des travailleurs de la santé et des fonctionnaires du ministère effectuant une surveillance de la santé publique pour suivre la propagation de maladies comme le COVID-19.

Aucune authentification multifacteur n’est requise pour accéder au système, indique le rapport. Il n’y a pas non plus d’infrastructure en place pour détecter automatiquement si quelqu’un a accédé au système pour des raisons inappropriées, et il n’y a pas non plus d’alerte de connexion comme de nombreux utilisateurs reçoivent lorsque quelqu’un se connecte à leurs comptes de messagerie ou de médias sociaux. Les informations personnelles contenues dans la base de données ne sont pas non plus correctement cryptées.

Le rapport du commissaire à la protection de la vie privée, publié jeudi, fait suite à un audit de l’année dernière examinant le risque de cybersécurité de PHSA.

Le rapport final du vérificateur général de la Colombie-Britannique a révélé que des milliers d’appareils médicaux utilisés pour diagnostiquer et traiter les personnes manquent de protections efficaces en matière de cybersécurité, laissant l’autorité vulnérable à une cyberattaque qui “pourrait nuire aux patients et perturber considérablement les opérations hospitalières”.