Un proveedor de software del NHS recibió una multa de £ 3 millones por la Oficina del Comisionado de Información (ICO) sobre fallas de seguridad que condujeron a un ataque de ransomware contra el NHS.
El grupo de software de computadora avanzado fue multado por una violación que puso información personal de 79,404 personas en riesgo, dijo el perro guardián de protección de datos del Reino Unido.
La empresa proporciona servicios de TI y software a organizaciones de todo el país, incluidos el NHS y otros proveedores de salud, manejando información en su papel como procesador de datos.
La brecha tuvo lugar en agosto de 2022cuando los piratas informáticos obtuvieron acceso a los números de teléfono y registros médicos de los pacientes, así como detalles sobre cómo ingresar a las casas de 890 personas que reciben atención en el hogar.
Los piratas informáticos no identificados pudieron obtener acceso a la información utilizando la cuenta de un cliente que no tenía suficiente protección en forma de autenticación multifactor.
La investigación del regulador concluyó que Advanced no tenía medidas de seguridad apropiadas antes del incidente.
El ataque cibernético condujo a la interrupción de servicios críticos, incluido el NHS 111, y dejó a un personal de atención médica incapaz de acceder a los registros de pacientes.
El software utilizado para facilitar los registros del paciente también se vio afectado.
El año pasado, el regulador criticó a Advanced sobre el incidente, que puso “más tensión” en un “sector ya bajo presión”.
Si bien la compañía había instalado la autenticación multifactor en muchos de sus sistemas, “la falta de cobertura completa” fue criticada por el comisionado de información, John Edwards.
“Las medidas de seguridad de la subsidiaria de Advanced se quedaron muy por debajo de lo que esperaríamos de una organización que procesa un volumen tan grande de información confidencial”, dijo Edwards.
Agregó que la multa debería servir como un “recordatorio marcado” a las organizaciones para garantizar que tengan “medidas de seguridad sólidas”.
“No hay excusa para dejar ninguna parte de su sistema vulnerable”, agregó Edwards.
El año pasado, el ICO anunció que tenía la intención de imponer un multa provisional de £ 6m en avanzado por la violación.
Sin embargo, el perro guardián dijo que la suma se había reducido a la mitad debido al compromiso proactivo de avanzado con la policía, los servicios de seguridad cibernética y el NHS después del ataque.