Регулятор потребовал штраф с Advanced Software за неспособность защитить ПДн

Служба по контролю за данными и конфиденциальностью Великобритании предложила оштрафовать Advanced Computer Software Group Ltd. за инцидент с программами-вымогателями, который нанёс ущерб британским службам здравоохранения и социального обеспечения в 2022 году.

В заявлении ведомства отмечается, что штраф в размере 6,09 млн фунтов стерлингов (порядка 7,74 млн долларов) будет наложен за неспособность компании защитить персональные данные, включая конфиденциальные медицинские сведения, десятков тысяч граждан. Кибератака привела к сбоям в работе критически важных служб, в том числе сервисов Национальной службы здравоохранения (NHS).

«Потеря контроля над конфиденциальной информацией будет иметь печальные последствия для людей, у которых не было иного выбора, кроме как довериться организациям здравоохранения, — заявил Джон Эдвардс, комиссар по информации Великобритании. — Несмотря на то, что Advanced Software внедрила соответствующие меры защиты в свои корпоративные системы, она не смогла обеспечить безопасность своих сервисов».

Advanced Software, ведущий поставщик ИТ-услуг и ПО, для многочисленных организаций, включая NHS, выступает оператором персональных данных от имени своих клиентов.

Потенциальный штраф связан с атакой программы-вымогателя LockBit 3.0 в августе 2022 года, которая скомпрометировала персональные данные почти 83 тыс. человек. Хакеры использовали учётную запись клиента, в которой отсутствовала многофакторная аутентификация, для проникновения в систему здравоохранения и ухода Advanced. Используя законные учётные данные третьих лиц, злоумышленники получили доступ к сеансу удалённого рабочего стола на сервере Citrix компании Staffplan, который используется для планирования смен сиделок.

Впоследствии злоумышленники проникли глубже в инфраструктуру Advanced, расширив свои привилегии. В результате были похищены персональные данные 16 сотрудников подразделения NHS, использующих решения компании Staffplan и Caresys для управления уходом за пациентами. По информации Advanced, данные сотрудников не были скомпрометированы.

Несмотря на то, что утечка не появлялась в даркнете, инцидент серьёзно повлиял на работу важнейших служб здравоохранения, включая сервисы NHS, и привёл к невозможности доступа медицинских работников к записям пациентов. Утечка данных включала номера телефонов и медицинские записи, а также подробности того, как попасть в жилища 890 человек, которые получали уход на дому. Все пострадавшие были извещены об утечке.

Решение ICO является предварительным, и окончательная сумма штрафа может измениться после рассмотрения ответа Advanced. Никаких выводов относительно нарушения закона о защите данных сделано не было.

Системы NHS крайне уязвимы к кибератакам, требуют повышенного внимания и внесения существенных изменений, напоминают специалисты Национального центра кибербезопасности Великобритании. Так, недавняя крупная атака вымогателей на стороннего поставщика услуг по анализу крови Synnovis привела к серьёзным сбоям в работе медицинских служб по всему Лондону.

7 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.07.2025
От айтишников всё чаще требуют развитых soft skills
10.07.2025
Хакер попытался украсть личность госсекретаря США с помощью ИИ
10.07.2025
Финрегулятор хочет раскрыть имена собственников банков
10.07.2025
«Большая часть компаний начинает инвестировать в ИБ только в ответ на требования извне»
10.07.2025
Telegram эволюционирует, скамеры — тоже
09.07.2025
Депутаты не одобрили деятельность «белых шляп»
09.07.2025
Командная игра в семь раз сократила объём NFC-хищений в России
09.07.2025
Trend Micro: У зловреда Bert — российские корни (вероятно)
09.07.2025
Только 5% компаний закладывает потери от кибератак в ИБ-бюджет
09.07.2025
В японские воды сойдёт дата-центр на 10000 тонн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных