Um fornecedor de software do NHS foi multado em £3 milhões pelo Information Commissioner's Office (ICO) devido a falhas de segurança que levaram a um ataque de ransomware no NHS.
O Advanced Computer Software Group foi multado por uma violação que colocou em risco as informações pessoais de 79.404 pessoas, disse a agência de proteção de dados do Reino Unido.
A empresa fornece serviços de TI e software para organizações em todo o país, incluindo o NHS e outros provedores de saúde, manipulando informações em sua função como data processor.
A violação ocorreu em agosto de 2022, quando hackers tiveram acesso aos números de telefone e registros médicos dos pacientes, além de detalhes de como entrar nas casas de 890 pessoas que recebiam cuidados em casa.
Os hackers não identificados conseguiram acessar as informações usando a conta de um cliente que não tinha proteção suficiente na forma de autenticação de múltiplos fatores.
A investigação do regulador concluiu que a Advanced não tinha medidas de segurança apropriadas em vigor antes do incidente.
O ciberataque levou à interrupção de serviços críticos, incluindo o NHS 111, e deixou alguns profissionais da saúde incapazes de acessar os registros dos pacientes.
O software usado para facilitar o check-in dos pacientes também foi impactado.
No ano passado, o regulador criticou a Advanced pelo incidente, que colocou "mais estresse" em um "setor já sob pressão".
Embora a empresa tenha instalado autenticação de múltiplos fatores em muitos de seus sistemas, "a falta de cobertura completa" foi criticada pelo Information Commissioner John Edwards.
"As medidas de segurança da subsidiária da Advanced ficaram seriamente aquém do que esperaríamos de uma organização que processa um volume tão grande de informações sensíveis", disse o Sr. Edwards.
Ele acrescentou que a multa deve servir como um "lembrete severo" para as organizações garantirem que têm "medidas de segurança robustas em vigor".
"Não há desculpa para deixar qualquer parte do seu sistema vulnerável", acrescentou o Sr. Edwards.
No ano passado, o ICO anunciou que pretendia impor uma multa provisória de £6 milhões à Advanced pela violação.
No entanto, o watchdog disse que a soma foi reduzida pela metade devido ao envolvimento proativo da Advanced com a polícia, serviços de cibersegurança e o NHS após o ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...