تم تغريم Advanced بمبلغ 3 مليون جنيه إسترليني بسبب هجوم إلكتروني تسبب في تعرض بيانات 79,000 مريض في الخدمة الصحية الوطنية

تم تغريم أحد أكبر موردي برامج NHS بمبلغ 3.07 مليون جنيه استرليني لعدم تنفيذ التدابير الأمنية المناسبة قبل هجوم الفدية في عام 2022 الذي كشف البيانات الشخصية لـ 79,000 شخص، كما أكد ذلك الجهاز التنظيمي لحماية البيانات في المملكة المتحدة (ICO).

تلقت مجموعة Advanced Computer Software Ltd (Advanced) غرامة من هيئة المعلومات (ICO) بسبب انتهاكها للوائح حماية البيانات، نظرًا لعدم وجود تنفيذ كامل للمصادقة المتعددة العوامل (MFA) في أنظمتها.

استغل المهاجمون هذا الضعف الأمني لاختراق فرع الرعاية الصحية التابع للشركة وسرقة البيانات الحساسة مع تعطيل خدمات NHS 111، كما لاحظته ICO.

أعرب جون إدواردز الذي يعمل كمفوض للمعلومات في المملكة المتحدة عن خيبة أمله بشأن الضعف الأمني الذي وُجد في العمليات التابعة للشركة المتقدمة.

“رغم أن شركة Advanced قد قامت بتثبيت المصادقة المتعددة العوامل عبر العديد من أنظمتها، فإن عدم توفر التغطية الكاملة يعني أن القراصنة قد يتمكنون من الوصول، مما يعرض معلومات الآلاف من الأشخاص الشخصية الحساسة للخطر”، كما ذكره الـICO

“الأشخاص يجب أن لا يتوجب عليهم التفكير مرتين حول ما إذا كانت سجلاتهم الطبية في أيدي آمنة. لكي يستخدموا الخدمات بثقة، يجب أن يتمكنوا من الثقة بأن كل مؤسسة تتواصل مع معلوماتهم الشخصية – سواء كان ذلك باستخدامها، أو مشاركتها، أو تخزينها نيابة عن الآخرين – تلتزم بالتزاماتها القانونية لحمايتها”، أضاف.

قامت مجموعة الفدية LockBit بتنفيذ هجوم أسفر عن انقطاعات شاسعة في النظام عبر الشبكة. فقد العاملون في الرعاية الصحية القدرة على الوصول إلى سجلات المرضى، في حين تعرضت تفاصيل دخول المنازل لـ 890 شخصًا يتلقون الرعاية المنزلية للأطراف غير المصرح بها، كما ذكرت الـBBC.

كانت الهيئة العامة للمعلومات قد حددت الغرامة أولاً بمبلغ 6.09 مليون جنيه استرليني قبل أن تقوم بتخفيضها بسبب تعاون Advanced مع وكالات إنفاذ القانون والأمن السيبراني مثل الوكالة الوطنية لأمن الإنترنت (NCSC) والوكالة الوطنية لمكافحة الجريمة (NCA).

قبلت الشركة قرار الـ ICO دون اعتراض واختارت عدم تقديم استئناف.