JK Nacionalinės sveikatos tarnybos (NHS) duomenų apdorojimo programinės įrangos tiekėjas sutiko sumokėti 3,07 mln. Svarų (3,96 mln.
„Pažangių kompiuterių programinės įrangos sveikatos priežiūros“ dukterinės įmonės kibernetinė ataka sukėlė kritinių NHS paslaugų sutrikimą, įskaitant jos 111-osios patarėjo karštąją liniją ir paliktą sveikatos priežiūros darbuotojus, negalinčius patekti į pacientų įrašus. Kibernetinis išpuolė kelia pavojų apie 80 000 asmenų asmens duomenis.
ICO tyrime nustatyta, kad „Advanced“ trūko „tinkamų“ techninių ir organizacinių priemonių, kad jos sistemos būtų visiškai saugios. Būtent daugiafaktorinio autentifikavimo (MFA) trūkumas-saugumo metodas, reikalaujantis, kad vartotojai pateiktų bent du įrodymus, kad įrodytų savo tapatybę-visoje duomenų procesoriaus sistemos architektūroje leido vykti kibernetinėje puolime.
Praėjusiais metais ICO paskyrė laikiną 6,07 mln. Svarų baudą. Tačiau dėl to, kad „Advanced“ pateikė pareiškimus dėl sprendimo, patvirtindamas, kad jis aktyviai bendradarbiavo su JK Nacionaliniu kibernetinio saugumo centru (NCSC), JK Nacionaline nusikaltimų agentūra (NCA) ir NHS po išpuolio ir ėmėsi kitų veiksmų, kad sušvelnintų riziką, kad paveiktų asmenų, ICO sutiko sumažinti baudą.
Informacijos komisaras Johnas Edwardsas teigė, kad „Advanced“ dukterinės įmonės saugumo priemonės „rimtai trumpa“ to, ko ji tikisi iš organizacijos, apdorojančios tokią didelę neskelbtiną informaciją.
Edvardas teigė: „Kai kibernetiniai incidentai didėja visuose sektoriuose, mano sprendimas šiandien yra akivaizdus priminimas, kad organizacijos rizikuoja tapti kitu tikslu, neturėdamas tvirtų saugumo priemonių.“
Visose organizacijos ar teikėjų architektūros sistemų MFA trūkumas, kuris gali sudaryti sąlygas blogiems veikėjams pastaraisiais metais naudotis platesne sistemų architektūra, kuri gali būti saugi, pastaraisiais metais.
Praėjusiais metais „UnitedHealth Group“ dukterinės įmonės „Change Change Healthcare“ kibernetinė ataka, kuri atskleidė 190 milijonų amerikiečių asmeninius duomenis, taip pat trūko MFA trūkumo viename iš bendrovės portalų. Lieka neribotai aišku, kad organizacijos ir jų įdarbinti teikėjai vis dar yra sutramdyti dėl šių pagrindinių pirmosios gynybos saugumo protokolų.
Edwardsas padarė išvadą: „Aš raginu visas organizacijas užtikrinti, kad kiekvienas išorinis ryšys būtų užtikrintas su MFA šiandien, kad apsaugotų visuomenę ir jų asmeninę informaciją – nėra jokio pasiteisinimo palikti savo sistemos dalį pažeidžiamą.“
