NHS 软件供应商因勒索软件故障面临 600 万英镑的罚款

安全动态 发布时间:2024-08-09 14:45:35 31 浏览

在 2022 年发生重大勒索软件攻击后,NHS 软件提供商 Advanced Computer Software Group 面临超过 600 万英镑的巨额罚款。该事件发生在 2022 年 8 月,暴露了近 83,000 人的个人数据。

信息专员办公室 (ICO) 暂时得出结论,Advanced 未能采取适当的措施来保护其受托的个人数据。

作为英国国家医疗服务体系(NHS)和英格兰其他医疗保健实体的主要IT提供商,Advanced Computer Software Group作为数据处理者有义务遵守严格的数据保护标准。ICO的调查显示,这些标准没有得到充分实施,造成了一个被网络犯罪分子利用的重大漏洞。

ICO决定处以巨额罚款,旨在对处理敏感数据的组织起到威慑作用和警钟。信息专员约翰·爱德华兹(John Edwards)强调了对数据泄露的个人造成的痛苦,以及组织优先考虑网络安全的必要性。

爱德华兹还表示,他的办公室决定公布临时决定,以“敦促所有组织,特别是那些处理敏感健康数据的组织,紧急通过多因素身份验证来保护外部连接。

Advanced总部位于伯明翰,由投资公司Vista Equity Partners和BC Partners(各持有50%)拥有。最终的罚款金额将根据 Advanced 的回复确定。在正式罚款之前,该公司将有机会对ICO的结论提出质疑。

2022 年 NHS 中断发生了什么?

对 Advanced 的勒索软件攻击利用了其系统中的一个漏洞,该漏洞允许黑客访问缺少多因素身份验证 (MFA) 的客户帐户。多因素身份验证是一项基本但必不可少的安全措施。这种由缺少 MFA 引起的违规行为不仅暴露了敏感数据,而且还中断了医疗保健服务,这可能会对患者护理和安全产生可怕的后果。

一夜之间,网络犯罪分子设法渗透到关键的健康和护理服务基础设施中。对Advanced的勒索软件攻击导致NHS服务严重中断。这导致了重大的运营挑战。

以下是 Advanced 2022 勒索软件攻击的一些要点:

  • 82,946人的电话号码和医疗信息被盗。
  • 该信息还包含有关访问890名接受家庭护理的人的财产的详细信息。
  • 这次袭击迫使NHS工作人员转向纸笔,以继续提供医疗服务。
  • NHS 111、救护车调度系统和非工作时间预约安排等关键功能受到损害。
  • 没有证据表明被盗数据已在常规网络或暗网上发布。
  • Advanced没有就其是否支付了敲诈勒索付款发表任何评论。

对NHS第三方安全的警告呼吁

ICO临时决定对Advanced处以罚款的消息揭示了NHS与其第三方服务提供商的斗争。就在几个月前,NHS因其病理学服务提供商Synnovis遭受网络攻击而遭受三级严重事件。

迄今为止,对 Synnovis 的勒索软件攻击已经推迟了 5,000 多个急诊预约。这包括数百种癌症治疗手术。

网络安全专家现在强调,全球 NHS 和医疗机构需要更严格的供应链安全。

Illumio关键基础设施总监Trevor Dearing表示,罚款为所有供应商敲响了“警钟”,以加强其网络安全基础设施。

他说,根据 Computing.co.uk,“正如最近的Synnovis网络攻击所表明的那样,供应链安全仍然是NHS内部的一个重大挑战。事实上,当我们在 2023 年 7 月根据 2000 年《信息自由法》联系 213 个 NHS 信托基金时,超过四分之一的信托基金没有对其第三方供应商的网络安全措施进行审计。

在我们的Synnovis和NHS勒索软件攻击时间表中,详细了解今年NHS的中断情况。

您可以做些什么来避免巨额的监管罚款?

Advanced的违规行为以及随后有关监管罚款的消息再次凸显了网络安全措施的严重缺陷,尤其是在医疗保健领域。它强调了对强大的勒索软件保护和网络事件响应培训的迫切需要。

它还将对话带回了网络安全基础知识。像 MFA 这样基本的东西,所有组织都必须实施,可能会花费您数百万英镑。当务之急是养成良好的网络安全卫生习惯。对员工进行网络事件响应方面的培训,并让他们通过网络攻击桌面练习练习处理现实世界的事件也很重要。

适当的培训可以使组织更有效地处理网络威胁,从而最大限度地降低数据泄露和运营中断的风险。Advanced 缺乏准备和安全协议不足,这极大地导致了攻击的严重性和随后的罚款。

组织必须明白,如果没有足够的勒索软件保护和事件响应培训,他们抵御网络攻击的能力就会受到严重损害。

结论

随着对Advanced的调查的展开和罚款的最终确定,医疗保健和数据保护部门的利益相关者将密切关注结果。网络安全社区也将密切关注Advanced为重新获得信任和加强其安全协议而采取的措施。

最终,对Advanced Computer Software Group处以600万英镑的罚款,鲜明地提醒人们医疗保健IT系统中存在的脆弱性。它还强调了勒索软件攻击的破坏性影响。组织必须优先考虑勒索软件缓解措施和敏感数据保护,以保护其财务和商业声誉。今天根本没有其他选择。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐

Python网络安全:最强工具,保护你的网络世界

Ollama AI 框架中的严重缺陷可能导致 DoS、模型盗窃和中毒

美国大选进入冲刺阶段!网络安全问题再成关注焦点!

PTZOptics相机的零日漏洞正在被广泛利用

谷歌警告安卓系统中存在被主动利用的 CVE-2024-43093 漏洞

我院助力宜宾市中小企业网络安全建设