Британское управление по защите данных заявило, что планирует оштрафовать поставщика управляемого программного обеспечения на 6,09 млн фунтов стерлингов (7,7 млн долларов США) в пользу NHS за ошибки, которые привели к атаке с использованием программ-вымогателей в 2022 году.
Читая пресс-релиз, мы никогда не видели, чтобы слово «временно» встречалось так часто в столь коротком отрывке текста, но Управление комиссара по информации (ICO) действительно стремилось донести до сознания тот факт, что ничто не высечено на камне, и окончательное наказание будет определено после того, как поставщик выскажет свое мнение по этому вопросу.
Этот поставщик — Advanced Computer Software Group; вы, возможно, помните его по статьям El Reg, опубликованным почти два года назад. Advanced отключила свои системы 4 августа 2022 года в результате инцидента, который в конечном итоге был приписан LockBit, находившемуся в расцвете сил, который, к счастью, уже закончился.
Операторы телефонов NHS, не являющихся экстренными, на линии 111 были вынуждены вернуться к работе с ручкой и бумагой, поскольку сбои продолжались в течение нескольких недель. Некоторые системы все еще не работали в октябре того года.
Есть несколько вещей, которые действительно раздражали комиссара по информации Джона Эдвардса в этом конкретном случае. Во-первых, инцидент был допущен, заявили в ICO, потому что для взлома систем поставщика была использована учетная запись клиента без многофакторной аутентификации (MFA).
Однако мы знаем, что для создания сеанса удаленного рабочего стола на сервере Advanced Staffplan Citrix использовались законные учетные данные.
«Во время первоначального сеанса входа в систему злоумышленник переместился в среду Advanced Health and Care и повысил привилегии, что позволило ему провести разведку и внедрить вредоносное ПО для шифрования. Непосредственно перед шифрованием систем злоумышленник скопировал и извлек ограниченный объем данных», — говорится в обновлении за октябрь 2022 года.
Есть также не такой уж и маленький вопрос об объеме украденных данных. Согласно предварительным выводам ICO, были украдены персональные данные 82 946 человек.
Телефонные номера были украдены, что не очень хорошо, но и не является неожиданным в случае утечки данных. Медицинские записи также были украдены, что, опять же, не очень хорошо, но недавние нападения на поставщиков медицинских услуг сделали это в некоторой степени нормой в наши дни.
Однако филиал LockBit, ответственный за это, также украл файлы, в которых содержалась подробная информация о том, как получить доступ к домам 890 человек, получающих помощь по их адресу.
Advanced не обнаружил никаких доказательств того, что это было опубликовано в Интернете, но схемы того, как получить доступ к дому уязвимого человека – это именно те данные, которые в плохих руках могут привести к ужасным последствиям.
«Этот инцидент показывает, насколько важно уделять приоритетное внимание информационной безопасности», — заявил сегодня Эдвардс. «Потеря контроля над конфиденциальной личной информацией будет огорчать людей, у которых не будет другого выбора, кроме как довериться организациям здравоохранения и ухода.
«Была не только раскрыта личная информация, но мы также получили сообщения о том, что этот инцидент вызвал сбой в работе некоторых служб здравоохранения, нарушив их способность оказывать помощь пациентам. Сектор, который и без того находился под давлением, оказался под еще большим давлением из-за этого инцидента.
«Для организации, которой доверено обрабатывать значительный объем конфиденциальных и специальных категорий данных, мы предварительно обнаружили серьезные недостатки в ее подходе к информационной безопасности до этого инцидента. Несмотря на уже установленные меры в ее корпоративных системах, наш предварительный вывод заключается в том, что Advanced не смогла обеспечить безопасность своих систем здравоохранения. Мы ожидаем, что все организации предпримут фундаментальные шаги для защиты своих систем, такие как регулярная проверка на наличие уязвимостей, внедрение многофакторной аутентификации и поддержание систем в актуальном состоянии с помощью последних исправлений безопасности.
«Я решил опубликовать это предварительное решение сегодня, поскольку мой долг — обеспечить, чтобы другие организации имели информацию, которая может помочь им защитить свои системы и избежать подобных инцидентов в будущем. Я настоятельно призываю все организации, особенно те, которые работают с конфиденциальными медицинскими данными, срочно защитить внешние соединения с помощью многофакторной аутентификации».
The Register обратился к Advanced за ответом, но ответа не получил.
На момент атаки у Advanced было 36 клиентов NHS, использующих ее различные продукты. Adastra, ее система управления клиническими пациентами, которая до сих пор используется службами здравоохранения, была среди пострадавших решений и использовалась в то время 85 процентами служб NHS 111. ®