英国信息专员办公室(ICO)因2022年的一次勒索软件攻击,对高级计算机软件集团有限公司处以307万英镑的罚款,该攻击暴露了79,404人的敏感个人数据,其中包括国家医疗服务体系(NHS)的患者数据。
2022年8月初,当包括111紧急服务在内的各种NHS服务出现重大故障时,宣布了此次网络攻击,这表明英国托管服务提供商(MSP)高级计算机软件集团受到了攻击。
高级计算机软件集团为NHS提供了多种患者管理和健康相关产品,如Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。
该公司并未透露许多关于哪个勒索软件组织攻击了他们的细节,但在接下来的几天里,显然恢复工作将需要很长时间,即使有Mandiant和微软专家的帮助。
后来证实,LockBit勒索软件组织是此次攻击的幕后黑手,他们利用被盗的凭证在Staffplan Citrix服务器上设置远程桌面协议(RDP)会话,随后横向移动进入组织的环境。
今天,ICO宣布对高级计算机软件集团处以307万英镑(约合395万美元)的罚款,以惩罚其未能保护敏感数据和系统免受黑客攻击。
ICO在其声明中强调了软件供应商未能实施足够的安全措施,以防止导致数据泄露和危及生命的健康服务中断的漏洞。
这些漏洞主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏普遍的多因素认证(MFA)覆盖。
“高级计算机软件集团的子公司安全措施严重不足,不符合我们对处理如此大量敏感信息的组织的期望,”信息专员约翰·爱德华兹表示。
“尽管高级计算机软件集团在许多系统上安装了多因素认证,但覆盖不全面意味着黑客可以进入,使成千上万人的敏感个人信息面临风险。”
值得注意的是,此次对高级计算机软件集团的罚款与2024年8月ICO考虑并宣布的609万英镑(约合774万美元)的罚款相比大幅减少。
然而,此次罚款具有重要意义,因为这是英国首次对数据处理者而非数据控制者处以罚款。
过去ICO对数据控制者处以的显著罚款包括对英国航空公司因2018年数据泄露处以创纪录的2000万英镑罚款,以及对万豪国际酒店因2014年安全事件处以1840万英镑罚款。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容