تفرض هيئة مراقبة البيانات في المملكة المتحدة غرامات على شركة Advanced التابعة لهيئة الخدمات الصحية الوطنية (NHS) بسبب الفشل الأمني قبل هجوم برنامج الفدية LockBit
أصدرت سلطات حماية البيانات في المملكة المتحدة غرامة مؤقتة تزيد عن 6 ملايين جنيه إسترليني على شركة Advanced التابعة لهيئة الخدمات الصحية الوطنية NHS بعد أن وجدت أن الشركة فشلت في تأمين معلومات الآلاف من الأشخاص الذين تمت سرقتهم لاحقًا في هجوم برنامج فدية بشكل صحيح.
في بيان، قال مكتب مفوض المعلومات في المملكة المتحدة إنه أصدر الغرامة بعد تحديد أن مجرمي الإنترنت الذين يقفون وراء هجوم برامج الفدية في أغسطس 2022 “تمكنوا في البداية من الوصول إلى عدد من أنظمة الصحة والرعاية الخاصة بشركة Advanced عبر حساب عميل لم يكن لديه مصادقة متعددة العوامل”.
أدى الهجوم السيبراني على Advanced إلى انقطاع واسع النطاق لخدمات NHS في جميع أنحاء المملكة المتحدة في ذلك الوقت، مما تسبب في انقطاع خط NHS 111 لغير الطوارئ وإجبار المستشفيات والممارسات الطبية على اللجوء إلى القلم والورقة لأسابيع. أفاد الأطباء في صناديق NHS المتضررة أنهم لم يتمكنوا من الوصول إلى سجلات المرضى.
وقالت شركة Mandiant، وهي شركة الاستجابة للحوادث التي ساعدت في التحقيق في الاختراق، إن البرامج الضارة التي استخدمتها عصابة LockBit Ransomware قد تم استخدامها في الهجوم؛ ومع ذلك، لم تعلن شركة LockBit علنًا مسؤوليتها عن الهجوم الإلكتروني على موقع تسريب الويب المظلم الخاص بها. يمكن أن يكون ذلك مؤشرًا على أن الشركة المخترقة ربما تكون قد دفعت فدية. وقد رفضت شركة Advanced في السابق الإفصاح عما إذا كانت قد دفعت واحدة.
بحلول أكتوبر 2022، قالت شركة Advanced في تقريرها بعد الحادث أن مجرمي الإنترنت اقتحموا شبكة شركة Advanced “باستخدام بيانات اعتماد مشروعة لجهة خارجية”، مما يعني عدم وجود مصادقة متعددة العوامل في الحساب.
الآن يبدو أن ICO يؤكد ذلك.
قال ICO إنه أصدر مؤقتًا غرامة قدرها 6.09 مليون جنيه إسترليني (7.75 مليون دولار) بعد أن قالت الهيئة الرقابية إن شركة Advanced “انتهكت قانون حماية البيانات مؤقتًا في فشلها في تنفيذ الإجراءات الأمنية المناسبة قبل الهجوم لحماية المعلومات الشخصية التي كانت تعالجها”.
وأكدت الهيئة الرقابية أيضًا أن الهجوم الإلكتروني أدى إلى سرقة ما يقرب من 83 ألف شخص في المملكة المتحدة، بما في ذلك أرقام الهواتف والسجلات الطبية، وتفاصيل “كيفية الدخول إلى منازل 890 شخصًا كانوا يتلقون الرعاية في المنزل”. قال ICO.
وقالت الهيئة الرقابية إن الغرامة مؤقتة، مما يعني أن العقوبة قد تتغير. وقال مفوض ICO جون إدواردز إن الهيئة الرقابية اتخذت قرار الإعلان عن هذه القضية جزئيًا “لتجنب وقوع حوادث مماثلة في المستقبل”.
قال إدواردز: “أحث جميع المؤسسات، وخاصة تلك التي تتعامل مع البيانات الصحية الحساسة، على تأمين الاتصالات الخارجية بشكل عاجل من خلال المصادقة متعددة العوامل”.
لم يستجب المتحدثون باسم Advanced لطلب التعليق قبل النشر.
إرسال التعليق