Max Home IndustryПоставщик программного обеспечения NHS был оштрафован на 3 млн фунтов стерлингов Управлением комиссара по информации (ICO) за недостатки безопасности, которые привели к атаке с использованием программ-вымогателей на NHS.
Advanced Computer Software Group была оштрафована за утечку, которая поставила под угрозу личную информацию 79 404 человек, сообщил британский надзорный орган по защите данных.
Фирма предоставляет ИТ-услуги и программное обеспечение организациям по всей стране, включая NHS и других поставщиков медицинских услуг, обрабатывая информацию в своей роли обработчика данных.
Утечка произошла в августе 2022 года, когда хакеры получили доступ к номерам телефонов и медицинским картам пациентов, а также к подробностям того, как проникнуть в дома 890 человек, получающих уход на дому.
Неопознанные хакеры смогли получить доступ к информации, используя учетную запись клиента, которая не имела достаточной защиты в виде многофакторной аутентификации.
Расследование регулятора пришло к выводу, что Advanced не приняла надлежащих мер безопасности до инцидента.
Кибератака привела к сбою критически важных служб, включая NHS 111, и лишила некоторых сотрудников здравоохранения доступа к записям пациентов.
Также пострадало программное обеспечение, используемое для упрощения регистрации пациентов.
В прошлом году регулятор раскритиковал Advanced за инцидент, который создал «дополнительную нагрузку» на «сектор, который и так находится под давлением».
Хотя компания установила многофакторную аутентификацию во многих своих системах, «отсутствие полного охвата» подверглось критике со стороны комиссара по информации Джона Эдвардса.
«Меры безопасности дочерней компании Advanced серьезно не соответствуют тому, что мы ожидаем от организации, обрабатывающей такой большой объем конфиденциальной информации», — сказал Эдвардс.
Он добавил, что штраф должен послужить «суровым напоминанием» организациям о необходимости обеспечить «надежные меры безопасности».
«Нет никаких оправданий тому, чтобы оставлять какую-либо часть вашей системы уязвимой», — добавил Эдвардс.
В прошлом году ICO объявила о намерении наложить на Advanced предварительный штраф в размере 6 млн фунтов стерлингов за нарушение.
Однако надзорный орган заявил, что сумма была уменьшена вдвое из-за активного взаимодействия Advanced с полицией, службами кибербезопасности и NHS после атаки.