İngiltere Bilgi Komiseri Ofisi (ICO), Ulusal Sağlık Servisi (NHS) hastası da dahil olmak üzere 79.404 kişinin hassas kişisel verilerini ortaya çıkaran 2022 fidye yazılımı saldırısı için Gelişmiş Bilgisayar Yazılım Grubu Ltd’ye 3.07 milyon £ para cezası verdi.
Siber saldırı, Ağustos 2022’nin başlarında, 111 acil servis de dahil olmak üzere çeşitli NHS hizmetlerinin önemli kesintiler yaşadığı ve İngiliz Yönetilen Servis Sağlayıcısı (MSP) Advanced’de bir ihlale işaret ettiği açıklandı.
Advanced, NHS’ye çeşitli hasta yönetimi ve Adastra, Caresys, Carenotes, Odyssey, Crosscare, Staffplan ve Efinancials gibi sağlıkla ilgili ürünler sağladı.
Şirket, hangi fidye yazılım grubunun kendilerini tehlikeye attığı hakkında pek çok ayrıntı paylaşmadı, ancak onu takip eden günlerde Maniant ve Microsoft’taki uzmanların yardımıyla bile kurtarmanın uzun süreceği anlaşıldı.
Daha sonra Lockbit Fidye Yazılım Grubunun saldırıdan sorumlu olduğu ortaya çıktı ve bir Staffplan Citrix Sunucusunda, kuruluşun ortamına yanal olarak taşınmadan önce bir uzak masaüstü protokol (RDP) oturumu ayarlamak için uzlaşmış kimlik bilgilerinden yararlandı.
Bugün, ICO, Hacker’lara karşı hassas verileri ve sistemleri korumak için bir ceza olarak Advanced için 3,07 milyon £ (3.95 milyon $) para cezası duyurdu.
ICO, yazılım satıcısının, veri maruziyetine ve yaşam süresi sağlık hizmeti kesintilerine neden olan ihlali önleyecek yeterli güvenlik önlemleri uygulanamamasını duyurmasında vurgulamaktadır.
Bu eksiklikler esas olarak zayıf güvenlik açığı taraması, yetersiz yama yönetimi ve evrensel çok faktörlü kimlik doğrulama (MFA) kapsamı eksikliği ile ilgilidir.
Bilgi Komiseri John Edwards, “Advanced’in iştiraki güvenlik önlemleri, bu kadar büyük bir hassas bilgi işleyen bir kuruluştan beklediğimiz şeyden ciddi şekilde yetersiz kaldı.” Dedi.
“Advanced, sistemlerinin çoğuna çok faktörlü kimlik doğrulama kurmuş olsa da, tam kapsam eksikliği, bilgisayar korsanlarının erişim elde edebileceği ve binlerce insanın hassas kişisel bilgilerini riske atması anlamına geliyordu.”
2022 fidye yazılımı olayı için gelişmiş para cezasının, ICO’nun daha önce düşündüğü ve Ağustos 2024’te açıklanan 6.09 milyon sterlin (7.74 milyon $) rakamına kıyasla önemli ölçüde azaldığını belirtmek gerekir.
Bununla birlikte, bu önemlidir, çünkü Birleşik Krallık’ta bir veri denetleyicisi yerine bir veri işlemcisine dayatılan ilk para cezasıdır.
Veri denetleyicileri üzerindeki geçmiş ICO para cezaları vakaları, 2018 veri ihlali için British Airways’e 20 milyon £ para cezası ve 2014 güvenlik olayı için Marriott’ta 18,4 milyon £ para cezasını içeriyor.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.