Регулятор потребовал штраф с Advanced Software за неспособность защитить ПДн

Служба по контролю за данными и конфиденциальностью Великобритании предложила оштрафовать Advanced Computer Software Group Ltd. за инцидент с программами-вымогателями, который нанёс ущерб британским службам здравоохранения и социального обеспечения в 2022 году.

В заявлении ведомства отмечается, что штраф в размере 6,09 млн фунтов стерлингов (порядка 7,74 млн долларов) будет наложен за неспособность компании защитить персональные данные, включая конфиденциальные медицинские сведения, десятков тысяч граждан. Кибератака привела к сбоям в работе критически важных служб, в том числе сервисов Национальной службы здравоохранения (NHS).

«Потеря контроля над конфиденциальной информацией будет иметь печальные последствия для людей, у которых не было иного выбора, кроме как довериться организациям здравоохранения, — заявил Джон Эдвардс, комиссар по информации Великобритании. — Несмотря на то, что Advanced Software внедрила соответствующие меры защиты в свои корпоративные системы, она не смогла обеспечить безопасность своих сервисов».

Advanced Software, ведущий поставщик ИТ-услуг и ПО, для многочисленных организаций, включая NHS, выступает оператором персональных данных от имени своих клиентов.

Потенциальный штраф связан с атакой программы-вымогателя LockBit 3.0 в августе 2022 года, которая скомпрометировала персональные данные почти 83 тыс. человек. Хакеры использовали учётную запись клиента, в которой отсутствовала многофакторная аутентификация, для проникновения в систему здравоохранения и ухода Advanced. Используя законные учётные данные третьих лиц, злоумышленники получили доступ к сеансу удалённого рабочего стола на сервере Citrix компании Staffplan, который используется для планирования смен сиделок.

Впоследствии злоумышленники проникли глубже в инфраструктуру Advanced, расширив свои привилегии. В результате были похищены персональные данные 16 сотрудников подразделения NHS, использующих решения компании Staffplan и Caresys для управления уходом за пациентами. По информации Advanced, данные сотрудников не были скомпрометированы.

Несмотря на то, что утечка не появлялась в даркнете, инцидент серьёзно повлиял на работу важнейших служб здравоохранения, включая сервисы NHS, и привёл к невозможности доступа медицинских работников к записям пациентов. Утечка данных включала номера телефонов и медицинские записи, а также подробности того, как попасть в жилища 890 человек, которые получали уход на дому. Все пострадавшие были извещены об утечке.

Решение ICO является предварительным, и окончательная сумма штрафа может измениться после рассмотрения ответа Advanced. Никаких выводов относительно нарушения закона о защите данных сделано не было.

Системы NHS крайне уязвимы к кибератакам, требуют повышенного внимания и внесения существенных изменений, напоминают специалисты Национального центра кибербезопасности Великобритании. Так, недавняя крупная атака вымогателей на стороннего поставщика услуг по анализу крови Synnovis привела к серьёзным сбоям в работе медицинских служб по всему Лондону.

7 августа, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры
06.09.2024
Стартовали Международные игры по кибербезопасности!
06.09.2024
В России появится ИТ-система защиты прав граждан за полмиллиарда рублей
06.09.2024
Минцифры собирает заявки на ИТ-гранты
05.09.2024
АБР не в восторге от инициативы регулирования рынка рассрочки
05.09.2024
Объявлена программа 11-го Форума ВБА-2024 «Вся банковская автоматизация»
05.09.2024
DumpForums в зените? Хакеры заявили об утечке банковской базы данных
05.09.2024
Минпромторг и Минобрнауки начнут регулярно обмениваться данными
05.09.2024
Найти средство против пандемии кибермошенничества

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных