£3 млн штрафа: британский регулятор наказал Advanced за киберхалатность
79 тысяч пострадавших: последствия взлома системы поставщика NHS.
Британский регулятор Information Commissioner’s Office (ICO) объявил о наложении штрафа в размере £3,07 млн на компанию Advanced Computer Software Group Ltd (Advanced) за несоблюдение требований к защите персональных данных. Расследование установило, что в результате инцидента в августе 2022 года были раскрыты данные 79 404 человек, включая конфиденциальную информацию о доступе в дома 890 получателей услуг на дому.
Advanced предоставляет IT-услуги и программное обеспечение организациям, включая Национальную службу здравоохранения (NHS), и обрабатывает персональные данные от их имени. Атака была проведена через клиентский аккаунт без включённой многофакторной аутентификации (MFA). Это привело к широкомасштабному сбою в работе критически важных сервисов, в том числе NHS 111, а также к невозможности у медицинского персонала получить доступ к медицинским записям пациентов.
ICO установило, что дочерняя структура Advanced, отвечающая за здравоохранение и социальную сферу, до инцидента не обеспечила должный уровень технической и организационной безопасности. В частности, в системах отсутствовала полная реализация MFA, не проводилось регулярное сканирование на уязвимости, а управление обновлениями оставалось на неудовлетворительном уровне.
Комиссар по информации Джон Эдвардс отметил, что «меры безопасности дочерней компании Advanced серьёзно не соответствовали ожидаемым стандартам для организаций, работающих с таким объёмом чувствительных данных». Он добавил, что даже при наличии MFA в ряде систем, отсутствие её повсеместного внедрения позволило злоумышленникам получить доступ к информации, подвергнув риску десятки тысяч человек.
По словам Эдвардса, пользователи «должны быть уверены, что организации, которые используют, передают или хранят их данные, соблюдают свои юридические обязательства по их защите». Он подчеркнул, что «никаких оправданий для уязвимости систем не существует» и призвал все организации обеспечить защиту внешних подключений с помощью MFA.
Первоначально ICO объявило о намерении наложить штраф в размере £6,09 млн в августе 2024 года. После получения возражений от Advanced сумма была снижена. Среди учтённых смягчающих факторов — взаимодействие компании с Национальным центром кибербезопасности (NCSC), Национальным агентством по борьбе с преступностью (NCA) и NHS, а также принятые меры по снижению последствий инцидента.
В рамках добровольного урегулирования Advanced признала решение ICO и согласилась выплатить окончательный штраф в размере £3 076 320 без обжалования.