Les autorités britanniques de protection des données ont infligé une amende provisoire de plus de 6 millions de livres sterling au fournisseur du NHS Advanced après avoir constaté que l’entreprise n’avait pas correctement sécurisé les informations de milliers de personnes volées plus tard lors d’une attaque par ransomware.

Dans un communiqué, le bureau du commissaire à l’information du Royaume-Uni a déclaré qu’il avait infligé l’amende après avoir déterminé que les cybercriminels à l’origine de l’attaque par ransomware d’août 2022 « ont initialement accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui n’avait pas d’authentification multifactorielle ».

La cyberattaque d’Advanced a entraîné une perturbation généralisée des services du NHS dans tout le Royaume-Uni à l’époque, provoquant des pannes sur la ligne 111 non urgente du NHS et forçant les hôpitaux et les cabinets médicaux à recourir au stylo et au papier pendant des semaines. Les médecins des fiducies du NHS touchées ont déclaré qu’ils Impossible d’accéder aux dossiers des patients.

Mandiant, la société de réponse aux incidents qui a aidé à enquêter sur le piratage, a déclaré que le logiciel malveillant utilisé par le gang de ransomware LockBit a été utilisé dans l’attaque. cependant, LockBit n’a jamais revendiqué publiquement la responsabilité de la cyberattaque sur son site de fuite sur le dark web. Cela peut indiquer qu’une entreprise piratée a peut-être payé une rançon. Advanced avait précédemment refusé de dire si elle en avait payé un.

En octobre 2022, Advanced a déclaré dans son rapport post-incident que les cybercriminels se sont introduits dans le réseau d’Advanced « en utilisant des informations d’identification tierces légitimes », ce qui implique qu’il n’y avait pas d’authentification multifactorielle sur le compte.

Publicité

Maintenant, l’ICO semble le confirmer.

L’ICO a déclaré qu’elle infligeait provisoirement une amende de 6,09 millions de livres sterling (7,75 millions de dollars) après que l’organisme de surveillance a déclaré qu’Advanced avait provisoirement « enfreint la loi sur la protection des données en ne mettant pas en œuvre des mesures de Sécurité appropriées avant l’attaque pour protéger les informations personnelles qu’elle traitait ».

L’organisme de surveillance a également confirmé que la cyberattaque avait conduit au vol de près de 83 000 personnes au Royaume-Uni, y compris des numéros de téléphone et des dossiers médicaux, et des détails sur « comment entrer dans les maisons de 890 personnes qui recevaient des soins à domicile », a déclaré l’ICO.

L’amende est provisoire, a déclaré l’organisme de surveillance, ce qui signifie que la sanction peut changer. Le commissaire de l’ICO, John Edwards, a déclaré que l’organisme de surveillance avait pris la décision de rendre publique cette affaire en partie pour « éviter des incidents similaires à l’avenir ».

« J’exhorte toutes les organisations, en particulier celles qui traitent des données de santé sensibles, à sécuriser de toute urgence les connexions externes grâce à l’authentification multifactorielle », a déclaré M. Edwards.

Les porte-parole d’Advanced n’ont pas répondu à une demande de commentaire avant la publication.

5/5 - (125 votes)
Publicité
Article précédentReddit va tester les pages de résultats de recherche alimentées par l’IA
Article suivantJumia prévoit de lever plus de 100 millions de dollars en actions secondaires pour stimuler la croissance du nombre d’utilisateurs

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici