Egy NHS-szoftverszolgáltatót 3 millió fontra bírságolt az Információs Biztos Hivatala (ICO) a biztonsági hiányosságok miatt, amelyek az NHS-t ért zsarolóprogram-támadáshoz vezettek.

Az Advanced Computer Software Groupot a 79 404 ember személyes adatait veszélyeztető jogsértés miatt bírságolták meg – közölte a brit adatvédelmi felügyelet.

A cég informatikai és szoftverszolgáltatásokat nyújt országszerte szervezeteknek, köztük az NHS-nek és más egészségügyi szolgáltatóknak, és adatfeldolgozóként kezeli az információkat.

A jogsértés 2022 augusztusában történt, amikor a hackerek hozzáférést szereztek a betegek telefonszámaihoz és orvosi feljegyzéseihez, valamint 890 otthon ápolt személy otthonába való bejutás részleteihez.

Az ismeretlen hackerek úgy tudtak hozzáférni az információkhoz, hogy egy olyan ügyfélfiókot használtak, amely nem rendelkezett megfelelő védelemmel többfaktoros hitelesítés formájában.

A szabályozó hatóság vizsgálata arra a következtetésre jutott, hogy az Advanced nem rendelkezett megfelelő biztonsági intézkedésekkel az incidens előtt.

A kibertámadás a kritikus szolgáltatások, köztük az NHS 111 megszakadásához vezetett, és az egészségügyi személyzet egy része nem tudott hozzáférni a betegadatokhoz.

A betegek bejelentkezését megkönnyítő szoftverek is érintettek.

Tavaly a szabályozó hatóság bírálta az Advanced-et az incidens miatt, amely “további terhet rótt” az “amúgy is nyomás alatt álló ágazatra”.

Bár a vállalat számos rendszerében többfaktoros hitelesítést telepített, John Edwards információs biztos bírálta “a teljes lefedettség hiányát”.

“Az Advanced leányvállalatának biztonsági intézkedései súlyosan elmaradtak attól, amit egy ilyen nagy mennyiségű érzékeny információt feldolgozó szervezettől elvárnánk” – mondta Edwards úr.

Hozzátette, hogy a bírságnak “éles emlékeztetőnek” kell lennie a szervezetek számára, hogy biztosítsák, hogy “szilárd biztonsági intézkedésekkel rendelkezzenek”.

“Nincs mentség arra, hogy a rendszer bármely részét sebezhetővé tegyük” – tette hozzá Edwards úr.

Tavaly az ICO bejelentette, hogy szándékában áll a 6 millió font ideiglenes bírságot a jogsértés miatt az Advanced ellen.

A felügyelet szerint azonban az összeg a felére csökkent, mivel a támadást követően az Advanced proaktívan együttműködött a rendőrséggel, a kiberbiztonsági szolgálatokkal és az NHS-szel.