El proveedor de software Advanced Computer Software Group se enfrenta a una posible multa de 6,09 millones de libras esterlinas por una supuesta falta de implementación de medidas de ciberseguridad adecuadas para proteger los datos personales confidenciales de 82.946 personas, que fueron robados por la banda de ransomware LockBit tras un ataque a sus sistemas en agosto. 2022.
El ciberataque a Advanced causó una gran perturbación en los fideicomisos del NHS y otros organismos de atención social que utilizaban la gestión de residencias de ancianos Caresys, el registro de atención de Staffplan y los servicios de gestión clínica de pacientes de Adastra. El mayor impacto inmediato observado fue para los usuarios del servicio Adastra que respalda el servicio de asesoramiento 111 del NHS.
Posteriormente se descubrió que LockBit, que fue eliminado por la Agencia Nacional contra el Crimen (NCA) del Reino Unido a principios de 2024, había accedido a la red de Advanced utilizando credenciales legítimas en una cuenta de terceros que no tenía habilitada la autenticación multifactor (MFA).
Esta cuenta se utilizó para establecer una sesión de protocolo de escritorio remoto (RDP) en un servidor Staffplan Citrix, desde donde pudieron moverse lateralmente a través del entorno de Advanced para elevar sus privilegios, filtrar datos confidenciales, incluidos registros médicos de pacientes y números de teléfono, y ejecutar sus casillero de ransomware.
“Este incidente muestra lo importante que es priorizar la seguridad de la información. Perder el control de información personal sensible habrá sido angustioso para las personas que no tuvieron más remedio que confiar en las organizaciones sanitarias y asistenciales”, afirmó el comisionado de Información, John Edwards.
“No solo se vio comprometida la información personal, sino que también hemos visto informes de que este incidente causó interrupciones en algunos servicios de salud, lo que interrumpió su capacidad de brindar atención al paciente. Un sector que ya estaba bajo presión se vio aún más presionado debido a este incidente.
“Para una organización en la que se confía el manejo de un volumen significativo de datos confidenciales y de categorías especiales, hemos encontrado provisionalmente fallas graves en su enfoque de la seguridad de la información antes de este incidente”, continuó Edwards.
“A pesar de que ya ha instalado medidas en sus sistemas corporativos, nuestra conclusión provisional es que Advanced no logró mantener seguros sus sistemas de atención médica. Esperamos que todas las organizaciones tomen medidas fundamentales para proteger sus sistemas, como comprobar periódicamente las vulnerabilidades, implementar la autenticación multifactor y mantener los sistemas actualizados con los últimos parches de seguridad”.
Edwards enfatizó que las conclusiones de la ICO son, en esta etapa, provisionales y no se debe sacar ninguna conclusión sobre si ha habido o no una violación de la ley de protección de datos, o incluso si se impondrá una multa. Como parte del proceso de investigación, Advanced tiene derecho a hacer declaraciones consideradas antes de que se tome una decisión final. Si finalmente la organización es multada, el importe puede cambiar.
Edwards dijo que había elegido hacer pública la decisión provisional de la ICO, ya que tenía el deber de garantizar que otras organizaciones tuvieran la información adecuada que les permitiera proteger sus sistemas y evitar incidentes similares en el futuro. Instó a todas las organizaciones, especialmente aquellas que manejan datos de salud confidenciales, a asegurar urgentemente conexiones externas e imponer políticas de MFA en todos los ámbitos.
La ICO señaló que aunque los procesadores de datos como Advanced actúan siguiendo las instrucciones de sus clientes, los controladores de datos (en este caso el NHS) que tienen control general sobre cómo se utilizan los datos, los procesadores todavía tienen la obligación legal de implementar sistemas de seguridad adecuados. medidas para mantenerlo seguro. Esto incluye tomar medidas para evaluar y mitigar el riesgo, realizar escaneos de vulnerabilidades en su patrimonio de TI, implementar MFA y mantener los sistemas actualizados.
Un portavoz de Advanced, que ahora opera como OneAdvanced, dijo a Computer Weekly que la organización había notificado a la ICO en agosto de 2022 que había sido objetivo de un ataque de ransomware y había cooperado plenamente con su investigación durante los últimos dos años. Reconocieron la Notificación de Intención (NoI) del regulador que establece sus conclusiones provisionales y lo invita a hacer declaraciones a continuación, lo cual tiene intención de hacer.
“Apoyamos a los clientes durante todo el incidente y podemos confirmar que ningún dato estuvo disponible públicamente. Los datos de los pacientes controlados por NHS Trusts no se vieron afectados y nuestro seguimiento continuo confirma que no hay evidencia de fraude o uso indebido. No hubo ningún impacto en ninguno de los otros sistemas de atención al cliente de Advanced”.
“Pedimos disculpas a nuestros clientes. Es totalmente lamentable que los actores de amenazas interrumpieran nuestros servicios en este incidente. Valoramos a nuestros clientes en el sector de la salud y nos tomamos muy en serio nuestra responsabilidad hacia ellos, sus pacientes y sus comunidades. La seguridad cibernética sigue siendo una inversión principal en todo nuestro negocio; continuamos adaptando y evolucionando nuestra respuesta a las amenazas y desafíos de seguridad cibernética en constante cambio.