สำนักงานผู้บัญชาการข้อมูล (ICO) ได้ลดค่าปรับที่กำหนดไว้ในขั้นสูงเป็น 3.07 ล้านปอนด์สำหรับข้อผิดพลาดด้านความปลอดภัยที่ให้ข้อมูลส่วนบุคคลเกี่ยวกับเกือบ 80,000 คนที่มีความเสี่ยง
ค่าปรับซึ่งเป็นครั้งแรกที่หน่วยงานกำกับดูแลได้ออกให้กับโปรเซสเซอร์ข้อมูลเกี่ยวข้องกับเหตุการณ์ ransomware ในเดือนสิงหาคม 2565 แฮ็กเกอร์เข้าถึงระบบที่เป็นของ บริษัท ในเครือสุขภาพและการดูแลของขั้นสูงผ่านบัญชีลูกค้าที่ไม่มีการอนุมัติหลายปัจจัย (MFA)
การโจมตีทางไซเบอร์รบกวนการบริการที่สำคัญเช่น NHS 111 ในขณะที่ผู้เชี่ยวชาญด้านสุขภาพอื่น ๆ ไม่สามารถเข้าถึงบันทึกผู้ป่วยได้
การศึกษาพบว่าข้อมูลส่วนบุคคลที่อยู่ใน 79,404 คนถูกบุกรุกรวมถึงรายละเอียดของวิธีการเข้าถึงบ้าน 890 คนที่ได้รับการดูแลที่บ้าน
การศึกษาของ ICO สรุปว่า บริษัท ในเครือสุขภาพและการดูแลของ Advanced ไม่มีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อให้ระบบสุขภาพและการดูแลรักษาความปลอดภัยอย่างเต็มที่ก่อนเกิดเหตุการณ์รวมถึงช่องว่างในการดำเนินการ MFA การขาดการสแกนช่องโหว่และการจัดการแพตช์ที่ไม่เพียงพอ
John Edwards ผู้บัญชาการข้อมูลกล่าวว่า“ มาตรการรักษาความปลอดภัยสำหรับ บริษัท ในเครือของ Advanced ได้ลดลงอย่างจริงจังภายใต้สิ่งที่เราคาดหวังจากองค์กรที่ประมวลผลข้อมูลที่ละเอียดอ่อนจำนวนมาก
“ ในขณะที่ Advanced ได้ติดตั้งการอนุมัติแบบหลายปัจจัยในหลาย ๆ ระบบการขาดความคุ้มครองที่สมบูรณ์หมายความว่าแฮกเกอร์สามารถเข้าถึงได้ซึ่งทำให้ข้อมูลส่วนบุคคลที่ละเอียดอ่อนของผู้คนหลายพันคนตกอยู่ในอันตราย
“ผู้คนไม่ควรคิดสองครั้งว่ารายการทางการแพทย์ของพวกเขาอยู่ในมือที่ปลอดภัยหรือไม่การใช้บริการด้วยความมั่นใจพวกเขาจะต้องสามารถไว้วางใจได้ว่าองค์กรใด ๆ ที่เข้ามาติดต่อกับข้อมูลส่วนบุคคลของพวกเขาไม่ว่าจะใช้พวกเขาแบ่งปันพวกเขาหรือบันทึกไว้ในนามของผู้อื่น
ICO ประกาศความตั้งใจเบื้องต้นในการปรับขั้นสูง 6.09 ล้านปอนด์ ในเดือนสิงหาคม 2567
ขั้นสูงจากนั้นส่งการเป็นตัวแทนของการตัดสินใจเบื้องต้นที่พิจารณาโดย ICO
ปัจจัยหลายอย่างจากการเป็นตัวแทนเหล่านี้นำไปสู่การลดลงของค่าปรับรวมถึงความมุ่งมั่นเชิงรุกของ Advanced กับศูนย์ความมั่นคงไซเบอร์แห่งชาติสำนักงานอาชญากรรมแห่งชาติและพลุกพล่านหลังจากการโจมตีรวมถึงขั้นตอนอื่น ๆ ที่ บริษัท ดำเนินการเพื่อลดความเสี่ยงของผู้ที่ได้รับผลกระทบ
ICO และ Advanced ได้ตกลงกันในการแก้ปัญหาโดยสมัครใจ Advanced ได้รับการยอมรับการตัดสินใจของ ICO ที่จะกำหนดค่าปรับที่ลดลงและตกลงที่จะจ่ายค่าปรับขั้นสุดท้ายที่ 3,076,320 ปอนด์โดยไม่ต้องดึงดูด
เอ็ดเวิร์ดกล่าวเสริม:“ ด้วยเหตุการณ์ไซเบอร์ที่เพิ่มขึ้นในทุกภาคส่วนการตัดสินใจของฉันในวันนี้เป็นเครื่องเตือนใจที่ชัดเจนว่าองค์กรเสี่ยงต่อการเป็นเป้าหมายต่อไปโดยไม่มีมาตรการรักษาความปลอดภัยที่แข็งแกร่ง
“ ฉันขอให้ทุกองค์กรเพื่อให้แน่ใจว่าการเชื่อมต่อภายนอกใด ๆ ที่มีความปลอดภัยด้วย MFA ในวันนี้เพื่อปกป้องสาธารณะและข้อมูลส่วนบุคคลของพวกเขา – ไม่มีข้อแก้ตัวใด ๆ ที่จะปล่อยให้ส่วนใดส่วนหนึ่งของระบบของคุณมีช่องโหว่
“ฉันยินดีต้อนรับการตั้งถิ่นฐานของขั้นสูงซึ่งสิ้นสุดการสอบสวนของเราเกี่ยวกับเหตุการณ์นี้และให้องค์กรมีความปลอดภัยด้านกฎระเบียบโดยไม่ชักช้าและค่าใช้จ่ายของกระบวนการอุทธรณ์”
บอกโฆษกขั้นสูง ข่าวสุขภาพดิจิทัล:“ เกิดอะไรขึ้นเมื่อสองปีครึ่งที่ผ่านมาเป็นเรื่องน่าเศร้าอย่างแน่นอน
“ ด้วยนักแสดงภัยคุกคามที่ดำเนินงานด้วยความซับซ้อนที่เพิ่มขึ้นมันอยู่เหนือทุก บริษัท เพื่อให้แน่ใจว่าตำแหน่งไซเบอร์ของพวกเขามีความเข้มแข็งอย่างต่อเนื่องการรักษาความปลอดภัยไซเบอร์ยังคงเป็นการลงทุนหลักในธุรกิจของเราและเราได้เรียนรู้มากมายในฐานะองค์กรตั้งแต่การโจมตีครั้งนี้
“เรารายงานเกี่ยวกับเหตุการณ์ที่เกิดขึ้นกับ ICO ในเดือนสิงหาคม 2565 และมีความสุขที่ได้เห็นกรณีนี้เสร็จสิ้นการมุ่งเน้นของเรายังคงแน่วแน่ที่จะสนับสนุนลูกค้าของเราในขณะที่พวกเขานำทางภูมิทัศน์เทคโนโลยีที่กำลังพัฒนาอย่างรวดเร็วทำให้มั่นใจได้ว่าพวกเขาจะบรรลุเป้าหมายการเติบโตเชิงกลยุทธ์และเป้าหมายประสิทธิภาพการดำเนินงาน”