Отсутствие надлежащей защиты обошлось намного дороже, чем её установка.
Британские регуляторы наложили предварительный штраф в размере более £6 миллионов на компанию Advanced, поставщика услуг для Национальной службы здравоохранения (NHS). Компания не обеспечила должную защиту информации тысяч людей, что привело к утечке данных в результате атаки программы-вымогателя.
В ходе атаки злоумышленники получили доступ к ряду систем Advanced через учетную запись клиента, которая не имела многофакторной аутентификации. Кибератака, произошедшая в августе 2022 года, вызвала значительные сбои в работе NHS по всей Великобритании. Были отключены службы, включая линию неотложной помощи NHS 111, и многие больницы и медицинские учреждения вынуждены были перейти на использование «ручки и бумаги». Врачи в пострадавших отделениях NHS сообщили, что не могли получить доступ к медицинским картам пациентов.
Расследование Mandiant показало, что в атаке использовалось вредоносное ПО LockBit. Однако сама группа LockBit публично не взяла на себя ответственность за кибератаку. Это может указывать на то, что Advanced заплатила выкуп вымогателям. Ранее компания отказалась сообщать, был ли уплачен выкуп.
В октябре 2022 года Advanced заявила, что киберпреступники проникли в её сеть, используя легитимные учетные данные третьей стороны, что также указывало на отсутствие многофакторной аутентификации. Сейчас ICO подтверждает этот факт.
ICO заявило, что предварительно налагает штраф в размере £6,09 миллиона (около $7,75 миллиона) за нарушение закона о защите данных, выразившееся в неспособности внедрить адекватные меры безопасности для защиты обрабатываемой личной информации до атаки.
Надзорный орган также подтвердил, что кибератака привела к краже данных почти 83 000 человек в Великобритании, включая номера телефонов и медицинские записи, а также подробности о том, как получить доступ к домам 890 человек, получающих уход на дому. Пострадавшие были уведомлены, и Advanced не обнаружила никаких доказательств того, что данные были опубликованы в даркнете.
Штраф носит предварительный характер, что означает возможное изменение суммы штрафа. В ICO заявили, что решение сделать случай публичным было принято частично для того, чтобы предотвратить аналогичные инциденты в будущем. Ведомство призвало все организации, особенно те, которые обрабатывают чувствительные данные о здоровье, срочно внедрить многофакторную аутентификацию.
Представители Advanced не предоставили комментариев.
Гравитация научных фактов сильнее, чем вы думаете