La Oficina del Comisionado de Información del Reino Unido (ICO) ha multado hoy el grupo de software de computadora avanzado, ahora conocido como OneAdVanced – £ 3.07 millones por fallas de seguridad cibernética que exacerbó el impacto de un ataque de ransomware Lockbit contra la organización.
El CyberAt Attack, que ocurrió en agosto de 2022, vio servicios proporcionados por clientes avanzados, incluidos el NHS y otros proveedores de atención médica, se interrumpió ampliamente cuando perdieron el acceso a su plataforma de gestión de pacientes clínicos ADASTRA.
Uno de los cuerpos que dependía de Adastra en ese momento era el servicio Frontline 111. Otras partes del servicio de salud afectado incluyeron envío de ambulancias, recetas de emergencia, servicios de pacientes fuera de horario y referencias.
El ICO dijo que el ataque, que comenzó a través de una cuenta de clientes que no tenía autenticación multifactorial (MFA) habilitada, vio los datos de 79,404 personas robadas. Entre estos datos se encontraban detalles sobre cómo obtener acceso a las propiedades de 890 personas que recibían atención en el hogar.
El regulador concluyó que la subsidiaria de salud y atención de Advanced no tenía medidas técnicas y organizativas apropiadas para garantizar la seguridad de sus sistemas de TI, destacando las brechas no solo en MFA, sino también en el escaneo de vulnerabilidad y la gestión de parches.
“Las medidas de seguridad de la subsidiaria de Advanced se quedaron muy por debajo de lo que esperaríamos de una organización que procesa un volumen tan grande de información confidencial. Si bien Advanced había instalado la autenticación multifactorial en muchos de sus sistemas, la falta de cobertura completa significaba que los piratas informáticos podían acceder, poniendo en riesgo a miles de personas de personas sensibles a la información personal”, dijo el comisionado de información John Edwards.
“Las personas nunca deberían tener que pensar dos veces sobre si sus registros médicos están en manos seguras. Para usar los servicios con confianza, deben poder confiar en que todas las organizaciones entran en contacto con su información personal, si eso lo está utilizando, compartirlo o almacenarlos en nombre de los demás, está cumpliendo con sus obligaciones legales para protegerla”, agregó Edwards.
Insto a todas las organizaciones a asegurarse de que cada conexión externa esté asegurada con MFA hoy para proteger al público y su información personal: no hay excusa para dejar una parte de su sistema vulnerable.
John Edwards, Comisionado de Información
“Con los incidentes cibernéticos que aumentan en todos los sectores, mi decisión hoy es un recordatorio de que las organizaciones corren el riesgo de convertirse en el próximo objetivo sin medidas de seguridad sólidas.
La multa, que es aproximadamente la mitad de la cantidad propuesta inicialmente, marca una primera para el ICO, ya que nunca antes había recaudado tal penalización en un procesador de datos bajo la ley de protección de datos del Reino Unido.
Su reducción significativa es el resultado de una serie de factores, incluidas las representaciones realizadas por Advanced sobre el progreso que ha realizado, y el compromiso proactivo de la organización durante todo el incidente, que incluyó plena cooperación con el Centro Nacional de Seguridad Cibernética (NCSC), la Agencia Nacional del Crimen (NCA) y el NHS.
El ICO y el avanzado ahora han llegado a un acuerdo voluntario, por el cual Advanced reconoce la decisión de reducir la multa y pagará un acuerdo final sin apelación.
Edwards dijo que este acuerdo fue bienvenido y proporcionó certeza regulatoria sin necesidad de incurrir en más costos y retrasos asociados con una apelación.
La ICO advirtió a otros que deben tomar medidas más proactivas para evaluar y mitigar los factores de riesgo bien conocidos que permiten a las pandillas de ransomware como Lockbit operar sus empresas criminales con facilidad. Estos incluyen la implementación de MFA por defecto y sin excepción, y hacer más trabajo para evaluar las vulnerabilidades y arreglarlas de manera más oportuna.
Un portavoz avanzado dijo: “Lo que sucedió hace más de dos años y medio es totalmente lamentable. Con los actores de amenazas que operan con una sofisticación creciente, es sobre todas las empresas asegurarse de que su postura cibernética se fortalezca continuamente. La seguridad cibernética sigue siendo una inversión principal en nuestro negocio, y hemos aprendido una gran oferta como una organización desde este ataque.
“Informamos el incidente al ICO en agosto de 2022 y nos complace ver que este asunto concluyó. Nuestro enfoque se mantiene firme en apoyar a nuestros clientes mientras navegan por el panorama tecnológico en rápida evolución, asegurando que logren su crecimiento estratégico y objetivos de eficiencia operativa”.
