Служба по контролю за данными и конфиденциальностью Великобритании предложила оштрафовать Advanced Computer Software Group Ltd. за инцидент с программами-вымогателями, который нанёс ущерб британским службам здравоохранения и социального обеспечения в 2022 году.
В заявлении ведомства отмечается, что штраф в размере 6,09 млн фунтов стерлингов (порядка 7,74 млн долларов) будет наложен за неспособность компании защитить персональные данные, включая конфиденциальные медицинские сведения, десятков тысяч граждан. Кибератака привела к сбоям в работе критически важных служб, в том числе сервисов Национальной службы здравоохранения (NHS).
«Потеря контроля над конфиденциальной информацией будет иметь печальные последствия для людей, у которых не было иного выбора, кроме как довериться организациям здравоохранения, — заявил Джон Эдвардс, комиссар по информации Великобритании. — Несмотря на то, что Advanced Software внедрила соответствующие меры защиты в свои корпоративные системы, она не смогла обеспечить безопасность своих сервисов».
Advanced Software, ведущий поставщик ИТ-услуг и ПО, для многочисленных организаций, включая NHS, выступает оператором персональных данных от имени своих клиентов.
Потенциальный штраф связан с атакой программы-вымогателя LockBit 3.0 в августе 2022 года, которая скомпрометировала персональные данные почти 83 тыс. человек. Хакеры использовали учётную запись клиента, в которой отсутствовала многофакторная аутентификация, для проникновения в систему здравоохранения и ухода Advanced. Используя законные учётные данные третьих лиц, злоумышленники получили доступ к сеансу удалённого рабочего стола на сервере Citrix компании Staffplan, который используется для планирования смен сиделок.
Впоследствии злоумышленники проникли глубже в инфраструктуру Advanced, расширив свои привилегии. В результате были похищены персональные данные 16 сотрудников подразделения NHS, использующих решения компании Staffplan и Caresys для управления уходом за пациентами. По информации Advanced, данные сотрудников не были скомпрометированы.
Несмотря на то, что утечка не появлялась в даркнете, инцидент серьёзно повлиял на работу важнейших служб здравоохранения, включая сервисы NHS, и привёл к невозможности доступа медицинских работников к записям пациентов. Утечка данных включала номера телефонов и медицинские записи, а также подробности того, как попасть в жилища 890 человек, которые получали уход на дому. Все пострадавшие были извещены об утечке.
Решение ICO является предварительным, и окончательная сумма штрафа может измениться после рассмотрения ответа Advanced. Никаких выводов относительно нарушения закона о защите данных сделано не было.
Системы NHS крайне уязвимы к кибератакам, требуют повышенного внимания и внесения существенных изменений, напоминают специалисты Национального центра кибербезопасности Великобритании. Так, недавняя крупная атака вымогателей на стороннего поставщика услуг по анализу крови Synnovis привела к серьёзным сбоям в работе медицинских служб по всему Лондону.