Регулятор потребовал штраф с Advanced Software за неспособность защитить ПДн

Служба по контролю за данными и конфиденциальностью Великобритании предложила оштрафовать Advanced Computer Software Group Ltd. за инцидент с программами-вымогателями, который нанёс ущерб британским службам здравоохранения и социального обеспечения в 2022 году.

В заявлении ведомства отмечается, что штраф в размере 6,09 млн фунтов стерлингов (порядка 7,74 млн долларов) будет наложен за неспособность компании защитить персональные данные, включая конфиденциальные медицинские сведения, десятков тысяч граждан. Кибератака привела к сбоям в работе критически важных служб, в том числе сервисов Национальной службы здравоохранения (NHS).

«Потеря контроля над конфиденциальной информацией будет иметь печальные последствия для людей, у которых не было иного выбора, кроме как довериться организациям здравоохранения, — заявил Джон Эдвардс, комиссар по информации Великобритании. — Несмотря на то, что Advanced Software внедрила соответствующие меры защиты в свои корпоративные системы, она не смогла обеспечить безопасность своих сервисов».

Advanced Software, ведущий поставщик ИТ-услуг и ПО, для многочисленных организаций, включая NHS, выступает оператором персональных данных от имени своих клиентов.

Потенциальный штраф связан с атакой программы-вымогателя LockBit 3.0 в августе 2022 года, которая скомпрометировала персональные данные почти 83 тыс. человек. Хакеры использовали учётную запись клиента, в которой отсутствовала многофакторная аутентификация, для проникновения в систему здравоохранения и ухода Advanced. Используя законные учётные данные третьих лиц, злоумышленники получили доступ к сеансу удалённого рабочего стола на сервере Citrix компании Staffplan, который используется для планирования смен сиделок.

Впоследствии злоумышленники проникли глубже в инфраструктуру Advanced, расширив свои привилегии. В результате были похищены персональные данные 16 сотрудников подразделения NHS, использующих решения компании Staffplan и Caresys для управления уходом за пациентами. По информации Advanced, данные сотрудников не были скомпрометированы.

Несмотря на то, что утечка не появлялась в даркнете, инцидент серьёзно повлиял на работу важнейших служб здравоохранения, включая сервисы NHS, и привёл к невозможности доступа медицинских работников к записям пациентов. Утечка данных включала номера телефонов и медицинские записи, а также подробности того, как попасть в жилища 890 человек, которые получали уход на дому. Все пострадавшие были извещены об утечке.

Решение ICO является предварительным, и окончательная сумма штрафа может измениться после рассмотрения ответа Advanced. Никаких выводов относительно нарушения закона о защите данных сделано не было.

Системы NHS крайне уязвимы к кибератакам, требуют повышенного внимания и внесения существенных изменений, напоминают специалисты Национального центра кибербезопасности Великобритании. Так, недавняя крупная атака вымогателей на стороннего поставщика услуг по анализу крови Synnovis привела к серьёзным сбоям в работе медицинских служб по всему Лондону.

7 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

13.02.2025
Standoff 15: кибербитва в мае соберёт около полусотни команд белых хакеров и защитников со всего мира
13.02.2025
Эксперты ВТБ представили краткий скам-обзор января
13.02.2025
В ближайшем будущем QR-коды будут содержать антифрод-измерение
13.02.2025
Минцифры начинает строить свой маленький валидатор навыков
13.02.2025
Мишустин — о весне в российском телеком-законодательстве
12.02.2025
UniCredit торопится выйти из России
12.02.2025
ФСТЭК России объявила о начале масштабных испытаний статических анализаторов
12.02.2025
АПКИТ: Единственный аккредитованный чип в разы уступает бытовым Intel Core i7
12.02.2025
Ideco: При обеспечении ИБ треть компаний выбирают комплексный подход
12.02.2025
Предоставление силовикам доступа к коммерческим БД конфликтует с законом «О персональных данных»?

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных