JK duomenų sargas skyrė baudą NHS pardavėjui „Advanced“ už saugumo gedimus prieš „LockBit“ išpirkos reikalaujančių programų ataką
JK duomenų apsaugos institucijos skyrė laikiną daugiau nei 6 milijonų svarų sterlingų baudą NHS pardavėjui Advanced po to, kai nustatė, kad bendrovė nesugebėjo tinkamai apsaugoti tūkstančių žmonių, vėliau pavogtų per išpirkos reikalaujančių programų ataką, informacijos.
JK informacijos komisaro biuras (ICO) pareiškime nurodė, kad baudą skyrė nustačius, kad 2022 m. rugpjūčio mėn. išpirkos reikalaujančios programinės įrangos atakos kibernetiniai nusikaltėliai „iš pradžių prisijungė prie daugelio Advanced sveikatos ir priežiūros sistemų per kliento paskyrą, kurioje nebuvo kelių veiksnių. autentifikavimas“.
Dėl kibernetinės atakos prieš „Advanced“ visoje Jungtinėje Karalystėje tuo metu buvo plačiai sutrikdytas NHS paslaugų teikimas, dėl to nutrūko NHS pagalbos 111 linija, o ligoninės ir medicinos įstaigos buvo priverstos kelias savaites griebtis rašiklio ir popieriaus. Paveiktų NHS patikos fondų gydytojai pranešė, kad negalėjo pasiekti pacientų įrašų.
„Mandiant“, reagavimo į incidentus įmonė, padėjusi ištirti įsilaužimą, teigė, kad atakoje buvo panaudota „LockBit“ išpirkos reikalaujančių programų gaujos naudojama kenkėjiška programa; Tačiau „LockBit“ niekada viešai neprisiėmė atsakomybės už kibernetinę ataką savo tamsioje žiniatinklio nutekėjimo svetainėje. Tai gali būti požymis, kad įsilaužta įmonė galėjo sumokėti išpirką. Advanced anksčiau atsisakė pasakyti, ar sumokėjo.
Iki 2022 m. spalio mėn. „Advanced“ savo ataskaitoje po incidento nurodė, kad kibernetiniai nusikaltėliai įsiveržė į „Advanced“ tinklą „naudodami teisėtus trečiosios šalies kredencialus“, o tai reiškia, kad paskyroje nebuvo kelių veiksnių autentifikavimo.
Dabar atrodo, kad ICO tai patvirtina.
ICO pareiškė laikinai skirianti 6,09 milijono svarų (7,75 milijono JAV dolerių) baudą po to, kai prižiūrėtojas teigė, kad Advanced laikinai „pažeidė duomenų apsaugos įstatymą, nes prieš ataką neįgyvendino atitinkamų saugumo priemonių, skirtų apsaugoti asmeninę informaciją, kurią apdoroja“.
Stebėtojas taip pat patvirtino, kad dėl kibernetinės atakos Jungtinėje Karalystėje buvo pavogti beveik 83 000 žmonių duomenys, įskaitant telefono numerius ir medicininius įrašus bei išsamią informaciją, „kaip patekti į 890 žmonių, kurie buvo gydomi namuose, namus. “, – sakė ICO.
Bauda yra laikina, sakė sargas, o tai reiškia, kad bausmė gali keistis. ICO komisaras Johnas Edwardsas sakė, kad sargas priėmė sprendimą paviešinti šią bylą iš dalies, kad „išvengtų panašių incidentų ateityje“.
„Raginu visas organizacijas, ypač tas, kurios tvarko jautrius sveikatos duomenis, skubiai apsaugoti išorinius ryšius naudojant kelių veiksnių autentifikavimą“, – sakė Edwardsas.
„Advanced“ atstovai spaudai neatsakė į prašymą pakomentuoti prieš paskelbimą.