Les autorités britanniques de protection des données ont infligé une amende provisoire de plus de 6 millions de livres sterling au fournisseur du NHS Advanced après avoir constaté que la société n’avait pas correctement sécurisé les informations de milliers de personnes volées ultérieurement lors d’une attaque de ransomware.
Dans un communiqué, le bureau du commissaire à l’information du Royaume-Uni (ICO) a déclaré avoir infligé l’amende après avoir déterminé que les cybercriminels à l’origine de l’attaque par ransomware d’août 2022 « ont initialement accédé à un certain nombre de systèmes de santé et de soins d’Advanced via un compte client qui ne disposait pas d’une authentification multifacteur ».
La cyberattaque sur Advanced a conduit à perturbation généralisée des services du NHS à travers le Royaume-Uni à l’époque, provoquant des pannes sur la ligne 111 non urgente du NHS et obligeant les hôpitaux et les cabinets médicaux à recourir au stylo et au papier pendant des semaines. Les médecins des fiducies du NHS touchées ont déclaré qu’ils n’a pas pu accéder aux dossiers des patients.
Mandiant, la société de réponse aux incidents qui a aidé à enquêter sur le piratage, a déclaré que le logiciel malveillant utilisé par le gang de ransomware LockBit a été utilisé dans l’attaque ; cependant, LockBit n’a jamais revendiqué publiquement la responsabilité de la cyberattaque sur son site de fuite sur le dark web. Cela peut être une indication qu’une entreprise piratée a peut-être payé une rançon. a précédemment refusé de le dire s’il en avait payé un.
D’ici octobre 2022, Advanced a déclaré dans son rapport post-incident que les cybercriminels ont pénétré dans le réseau d’Advanced « en utilisant des identifiants tiers légitimes », ce qui implique qu’il n’y avait pas d’authentification multifacteur sur le compte.
L’ICO semble désormais le confirmer.
L’ICO a déclaré qu’elle émettait provisoirement une amende de 6,09 millions de livres sterling (7,75 millions de dollars) après que l’organisme de surveillance a déclaré qu’Advanced avait provisoirement « violé la loi sur la protection des données en ne mettant pas en œuvre les mesures de sécurité appropriées avant l’attaque pour protéger les informations personnelles qu’elle traitait ».
L’organisme de surveillance a également confirmé que la cyberattaque avait conduit au vol de données de près de 83 000 personnes au Royaume-Uni, y compris des numéros de téléphone et des dossiers médicaux, ainsi que des détails sur « la manière d’accéder aux domiciles de 890 personnes qui recevaient des soins à domicile », a déclaré l’ICO.
L’amende est provisoire, a déclaré l’organisme de surveillance, ce qui signifie que la sanction peut changer. Le commissaire de l’ICO, John Edwards, a déclaré que l’organisme de surveillance avait pris la décision de rendre cette affaire publique en partie pour « éviter des incidents similaires à l’avenir ».
« J’exhorte toutes les organisations, en particulier celles qui traitent des données de santé sensibles, à sécuriser d’urgence les connexions externes avec une authentification multifacteur », a déclaré Edwards.
Les porte-parole d’Advanced n’ont pas répondu à une demande de commentaire avant la publication.