Британское Управление комиссара по информации (ICO) оштрафовало компанию Advanced Computer Software Group Ltd на 3,07 млн фунтов стерлингов за кибератаку с использованием программы-вымогателя в 2022 году. В результате были скомпрометированы данные 79 404 человек, включая пациентов NHS.
О взломе стало известно в августе 2022 года, когда службы NHS, включая экстренные 111, столкнулись с перебоями. Атаке подвергся поставщик управляемых услуг Advanced, предоставлявший NHS программные решения, такие как Adastra, Caresys и Staffplan.
Позже выяснилось, что атаку совершила группировка LockBit, использовав украденные учетные данные для удаленного доступа (RDP) к серверу Staffplan Citrix, после чего проникла в систему. Восстановление инфраструктуры заняло длительное время, несмотря на помощь специалистов Mandiant и Microsoft.
ICO наложило штраф за недостаточную защиту данных, указав на слабое сканирование уязвимостей, неэффективное управление обновлениями и отсутствие всеобъемлющей многофакторной аутентификации (MFA).
Комиссар по информации Джон Эдвардс отметил, что меры безопасности Advanced не соответствовали требованиям к организациям, работающим с конфиденциальными данными. Частичное внедрение MFA не помешало хакерам получить доступ.
Изначально ICO планировало штраф в 6,09 млн фунтов стерлингов, но сумма была снижена. Это первый случай в Великобритании, когда санкции наложены на обработчика данных, а не на их контролера.
Ранее ICO штрафовало контролеров данных, включая British Airways (20 млн фунтов за утечку в 2018 году) и Marriott (18,4 млн фунтов за инцидент в 2014 году).
Marriott и Starwood выплатят 52 миллиона долларов за утечку данных и усилят меры безопасности
