Поставщику ИТ-услуг NHS выписан крупный штраф после атаки ransomware

В Великобритании британское Управление по информации (ICO) оштрафовало компанию Advanced Computer Group Ltd на сумму 3,07 миллиона фунтов стерлингов за утечку данных в результате атаки ransomware в 2022 году. В ходе этой атаки были украдены данные NHS и зашифрованы системы, что поставило под угрозу личную информацию 79 404 человек.

Это первый штраф ICO, выписанный процессору данных, и он служит «серьезным напоминанием о том, что организации рискуют стать следующей мишенью без надежных мер безопасности», – заявил Комиссар.

Атака привела к сбоям в работе критических служб в то время, в том числе NHS 111, и означала, что некоторые медицинские работники не могли получить доступ к записям пациентов. К украденной информации относились номера телефонов пациентов, медицинские карты и, что наиболее тревожно, сведения о местах жительства 890 человек, получающих уход на дому.

Недостаточные меры защиты Расследование ICO выявило, что Advanced Computer Group Ltd не внедрила достаточных технических и организационных мер для обеспечения полной безопасности систем здравоохранения и ухода до инцидента. В частности, было отмечено отсутствие многофакторной аутентификации, недостаточная политика управления обновлениями и «недостаток всестороннего сканирования уязвимостей».

«Меры безопасности филиала Advanced были серьезно недостаточными для организации, обрабатывающей такой большой объем конфиденциальной информации», – подтвердил Джон Эдвардс, информационный комиссар. «Хотя Advanced внедрила многофакторную аутентификацию на многих своих системах, отсутствие полного охвата позволило хакерам получить доступ, поставив под угрозу тысячи людей с чувствительной личной информацией».

Фирме был выписан предварительный штраф в размере 6 миллионов фунтов стерлингов в августе 2024 года, но он был сокращен после рассмотрения доводов, представленных ICO, включая «проактивное сотрудничество Advanced с NCSC, NCA и NHS после атаки, а также другие меры, предпринятые для смягчения рисков для пострадавших».