Dostawca oprogramowania Zaawansowana Grupa Oprogramowania Komputerowego grozi jej potencjalna grzywna w wysokości 6,09 mln funtów za rzekome niewdrożenie odpowiednich środków bezpieczeństwa cybernetycznego w celu ochrony poufnych danych osobowych 82 946 osób, co stanowiło skradzione przez gang ransomware LockBit po ataku na jej systemy w sierpniu 2022 r.
Cyberatak na Advanced spowodowało poważne zakłócenia w NHS trusts i innych instytucjach opieki społecznej, które korzystały z usług Caresys care home management, Staffplan care roering i Adastra clinical patient management. Największy natychmiastowy wpływ zaobserwowano u użytkowników usługi Adastra, która stanowi podstawę usługi doradczej NHS 111.
LockBit – który był usunięte przez Narodową Agencję ds. Przestępczości w Wielkiej Brytanii (NCA) na początku 2024 r. – później ustalono, że uzyskał dostęp do sieci Advanced, korzystając z prawidłowych danych uwierzytelniających na koncie osoby trzeciej, które nie miało uwierzytelnianie wieloskładnikowe (MFA) włączone.
To konto zostało użyte do założenia protokół pulpitu zdalnego (RDP) na serwerze Staffplan Citrix, skąd mogli poruszać się po środowisku Advanced, aby podnosić swoje uprawnienia, wykradać poufne dane, w tym dokumentację medyczną pacjentów i numery telefonów, a także uruchamiać program blokujący ransomware.
„Ten incydent pokazuje, jak ważne jest priorytetowe traktowanie bezpieczeństwa informacji. Utrata kontroli nad poufnymi informacjami osobistymi była niepokojąca dla osób, które nie miały innego wyjścia, jak tylko zaufać organizacjom zajmującym się ochroną zdrowia i opieką” — powiedział komisarz ds. informacji John Edwards.
„Nie tylko doszło do naruszenia danych osobowych, ale widzieliśmy również doniesienia, że incydent ten spowodował zakłócenia w niektórych usługach opieki zdrowotnej, zakłócając ich zdolność do świadczenia opieki nad pacjentami. Sektor, który już był pod presją, został dodatkowo obciążony z powodu tego incydentu.
„W przypadku organizacji, której powierzono przetwarzanie znacznej ilości poufnych i szczególnych kategorii danych, wstępnie stwierdziliśmy poważne uchybienia w jej podejściu do bezpieczeństwa informacji jeszcze przed tym incydentem” – kontynuował Edwards.
„Pomimo zainstalowania środków w systemach korporacyjnych, naszym wstępnym ustaleniem jest, że Advanced nie zapewniło bezpieczeństwa swoim systemom opieki zdrowotnej. Oczekujemy, że wszystkie organizacje podejmą podstawowe kroki w celu zabezpieczenia swoich systemów, takie jak regularne sprawdzanie luk w zabezpieczeniach, wdrażanie uwierzytelniania wieloskładnikowego i aktualizowanie systemów za pomocą najnowszych poprawek bezpieczeństwa”.
Edwards podkreślił, że ustalenia ICO są na tym etapie tymczasowe i nie należy wyciągać żadnych wniosków co do tego, czy doszło do naruszenia prawa o ochronie danych, ani nawet czy zostanie nałożona grzywna. W ramach procesu dochodzeniowego Advanced ma prawo do złożenia przemyślanych oświadczeń przed podjęciem ostatecznej decyzji. Jeśli organizacja zostanie ostatecznie ukarana grzywną, jej wysokość może ulec zmianie.
Edwards powiedział, że zdecydował się na upublicznienie tymczasowej decyzji ICO, ponieważ miał obowiązek zapewnić innym organizacjom odpowiednie informacje, które umożliwią im zabezpieczenie swoich systemów i uniknięcie podobnych incydentów w przyszłości. Wezwał wszystkie organizacje, zwłaszcza te przetwarzające poufne dane dotyczące zdrowia, do pilnego zabezpieczenia połączeń zewnętrznych i wprowadzenia zasad MFA na wszystkich szczeblach.
ICO wskazało, że chociaż podmioty przetwarzające dane, takie jak Advanced, działają zgodnie z instrukcjami swoich klientów, administratorzy danych – w tym przypadku NHS – mają ogólną kontrolę nad sposobem wykorzystania danych, podmioty przetwarzające nadal mają obowiązek prawny wdrożyć odpowiednie środki bezpieczeństwa, aby zapewnić bezpieczeństwo. Obejmuje to podejmowanie kroków w celu oceny i ograniczenia ryzyka, przeprowadzanie skanowania podatności w ich infrastrukturze IT, wdrażanie uwierzytelniania wieloskładnikowego (MFA) i aktualizowanie systemów.
Rzecznik Advanced, który obecnie działa pod nazwą OneAdvanced, powiedział Computer Weekly, że organizacja powiadomiła ICO w sierpniu 2022 r., że padła ofiarą ataku ransomware i w pełni współpracowała z dochodzeniem w ciągu ostatnich dwóch lat. Potwierdzili oni, że organ regulacyjny otrzymał powiadomienie o zamiarze (NoI) zawierające tymczasowe ustalenia i zapraszające do złożenia oświadczeń po tym fakcie, co zamierza zrobić.
„Wspieraliśmy klientów przez cały incydent i możemy potwierdzić, że żadne dane nie zostały nigdy udostępnione publicznie. Dane pacjentów kontrolowane przez NHS Trusts nie zostały naruszone, a nasz stały monitoring potwierdza, że nie ma dowodów oszustwa lub niewłaściwego użycia. Nie miało to wpływu na żaden z innych systemów obsługi klienta Advanced”.
„Przepraszamy naszych klientów. Jest całkowicie godne ubolewania, że aktorzy zagrożeń zakłócili nasze usługi w tym incydencie. Cenimy naszych klientów w sektorze opieki zdrowotnej i traktujemy naszą odpowiedzialność wobec nich, ich pacjentów i społeczności bardzo poważnie. Cyberbezpieczeństwo nadal jest podstawową inwestycją w całej naszej działalności, nadal dostosowujemy i rozwijamy naszą odpowiedź na ciągle zmieniające się zagrożenia i wyzwania cyberbezpieczeństwa.