De Britse gegevensbeschermingsautoriteiten hebben een voorlopige boete van meer dan £6 miljoen opgelegd aan NHS-leverancier Advanced nadat zij hadden vastgesteld dat het bedrijf er niet in was geslaagd informatie over duizenden mensen goed te beveiligen, die later werd gestolen bij een ransomware-aanval.
In een verklaring zei het Britse Information Commissioner’s Office (ICO) dat het de boete had opgelegd nadat het had vastgesteld dat de cybercriminelen achter de ransomware-aanval van augustus 2022 “aanvankelijk toegang hadden gekregen tot een aantal gezondheidszorg- en gezondheidszorgsystemen van Advanced via een gebruikersaccount dat niet beschikte over multi- factorauthenticatie.”
De cyberaanval op Advanced veroorzaakte destijds een wijdverbreide verstoring van de NHS-diensten in het Verenigd Koninkrijk, waardoor uitval van de NHS 111-noodlijn ontstond en ziekenhuizen en medische praktijken wekenlang naar pen en papier moesten grijpen. Artsen in de getroffen NHS-trusts meldden dat ze geen toegang hadden tot patiëntendossiers.
Mandiant, een incidentresponsbedrijf dat hielp bij het onderzoeken van de hack, zei dat bij de aanval gebruik werd gemaakt van malware die werd gebruikt door de LockBit-ransomwarebende; LockBit heeft echter nooit publiekelijk de verantwoordelijkheid voor de cyberaanval opgeëist op zijn dark web-lekwebsite. Dit kan een aanwijzing zijn dat het gehackte bedrijf mogelijk het losgeld heeft betaald. Advanced weigerde eerder te zeggen of het ervoor had betaald.
In oktober 2022 zei Advanced in zijn post-incidentrapport dat cybercriminelen inbraken in het netwerk van Advanced “met behulp van legitieme inloggegevens van derden”, wat impliceert dat het account geen multi-factor authenticatie had.
Nu lijkt de ICO dit te bevestigen.
De ICO zei dat het een voorlopige boete van £ 6,09 miljoen ($ 7,75 miljoen) oplegde nadat de waakhond zei dat Advanced tijdelijk “de gegevensbeschermingswet had overtreden door vóór de aanval geen passende beveiligingsmaatregelen te implementeren om de persoonlijke gegevens die het verwerkt te beschermen”.
De waakhond bevestigde ook dat de cyberaanval leidde tot de diefstal van gegevens van bijna 83.000 mensen in Groot-Brittannië, waaronder telefoonnummers en medische dossiers, en details over “hoe je de huizen kunt binnendringen van 890 mensen die thuiszorg kregen” , aldus de ICO.
De straf is tijdelijk, zei de bewaker, wat betekent dat de straf kan worden gewijzigd. ICO-commissaris John Edwards zei dat het besluit van de waakhond om de zaak aan het publiek voor te leggen deels was om “soortgelijke incidenten in de toekomst te voorkomen”.
“Ik dring er bij alle organisaties op aan, vooral degenen die gevoelige gezondheidsgegevens verwerken, om dringend externe links te beveiligen met multi-factor authenticatie”, aldus Edwards.
Geavanceerde woordvoerders reageerden vóór publicatie niet op een verzoek om commentaar.