Az Információs Biztos Hivatala (ICO) ideiglenesen 6 millió font bírságot szabott ki egy NHS-szoftverszolgáltatóra egy több mint 80 000 embert érintő adatvédelmi incidens miatt.

A jogsértés 2022-ben történt, és érzékeny személyes adatokat tartalmazott, többek között orvosi feljegyzéseket és “890 ember otthonába való bejutás módját”.

Az ICO azonban hangsúlyozta, hogy ez egy ideiglenes bírság, és a végleges döntés meghozatala előtt megvárja az Advanced Computer Software Group meghallgatását.

Azt mondta, hogy az első megállapításai szerint 82 946 ember személyes adatait “kiszivárogtatták” a hackerek.

“Nemcsak a személyes adatok kerültek veszélybe, hanem olyan jelentések is érkeztek, amelyek szerint ez az incidens fennakadást okozott egyes egészségügyi szolgáltatásokban, megzavarva a betegellátás képességét” – mondta John Edwards, az információs biztos.

“Az amúgy is nyomás alatt álló ágazatot ez az incidens további feszültségnek tette ki.”

Az ICO azt mondta, hogy a hackelés által érintett embereket értesítették, és az Advanced nem talált bizonyítékot arra, hogy az információk kiszivárogtak volna a sötét weben.

A bűnöző hackerek az Advanced hét egészségügyi rendszerét kapcsolták le, köztük a betegek bejelentkezésére, az orvosi feljegyzésekre és az NHS 111 szolgáltatásra használt szoftvert.

Az orvosok akkoriban a BBC-nek azt mondták hogy hónapokig is eltarthat a kibertámadás miatt felhalmozódó orvosi papírhalmazok feldolgozása.

Néhány háziorvosi szolgálat kénytelen volt tollal és papírral jegyzetelni az elektronikus rendszerek helyett.

A hackerek úgy tudtak hozzáférni az információkhoz, hogy egy ügyfélfiókot használtak, amely nem rendelkezett megfelelő védelemmel.

Az ICO szerint azonban úgy vélte, hogy az Advancednek intézkedéseket kellett volna bevezetnie a sebezhetőség elleni védelem érdekében.

“Azért döntöttem úgy, hogy ma nyilvánosságra hozom ezt az ideiglenes határozatot, mert kötelességem biztosítani, hogy más szervezetek olyan információkkal rendelkezzenek, amelyek segíthetnek nekik rendszereik biztonságossá tételében és a hasonló incidensek jövőbeni elkerülésében” – mondta Edwards úr.

“Sürgetem az összes szervezetet, különösen azokat, amelyek érzékeny egészségügyi adatokat kezelnek, hogy sürgősen biztosítsák a külső kapcsolatokat többfaktoros hitelesítéssel.”

Lauren Wills-Dixon, a Gordons ügyvédi iroda ügyvédje és adatvédelmi vezetője egyetértett.

“A potenciális ICO-végrehajtás mértéke újabb emlékeztető minden szervezet számára, különösen azok számára, amelyek különleges kategóriájú vagy “érzékeny” adatokat dolgoznak fel az ügyfelek nevében (például egészségügyi adatokat), amelyek az adatvédelmi törvények értelmében különleges védelmet élveznek, hogy szilárd biztonsági intézkedésekkel kell rendelkezniük rendszereik és adataik védelme érdekében” – mondta a BBC-nek.

“Az ilyen intézkedések jellemzően magukban foglalják a megfelelő technikai és szervezeti intézkedésekbe való beruházást, a robusztus IT-infrastruktúra és a monitoring/felderítés megvalósítását, a hatékony politikák, eljárások és képzések kidolgozását, valamint az üzletmenet-folytonossági és katasztrófa-helyreállítási terv kidolgozását, fenntartását és tesztelését.”.