La Oficina del Comisionado del Reino Unido (ICO) emitió una multa de 3.07 millones de libras esterlinas en el grupo avanzado de software informático Ltd para el ataque de ransomware en 2022 que exhibió datos personales confidenciales de 79,404 personas, incluidos pacientes del Servicio Nacional de Salud (NHS).
El ataque cibernético se anunció a principios de agosto de 2022 cuando varios servicios del NHS, incluidos 111 servicios de emergencia, sufrieron desgloses significativos, lo que indica una violación en el proveedor de servicios administrados (MSP) británicos.
Avanzado proporcionó al NHS a varios pacientes para pacientes y a la salud relacionadas con la salud, como ADASTRA, CareSys, Carenotes, Odyssey, Crosscare, Personal-Plano y Efinancial.
La compañía no compartió muchos detalles sobre el grupo de ransomware los había comprometido, pero en los días siguientes, ha quedado claro que la recuperación llevaría mucho tiempo, incluso con la ayuda de expertos de Mandiant y Microsoft.
Más tarde se reveló que el grupo de ransomware Lockbit fue responsable del ataque, aprovechando la información de identificación comprometida para configurar una sesión de protocolo de oficina remota (RDP) en un servidor Citrix Citrix Citrix antes de moverse lateralmente en el entorno de la organización.
Hoy, la ICO ha anunciado una multa cerrada de 3.07 millones de libras esterlinas ($ 3.95 millones) avanzada como una penalización por no haber no logrado proteger datos confidenciales y sistemas piratas.
La ICO subraya en su anuncio que el proveedor de software no ha implementado medidas de seguridad adecuadas que evitarían una violación que causó la exposición de datos a datos y servicios de salud.
Estas omisiones se refieren principalmente al análisis de vulnerabilidad deficiente, la gestión inadecuada de los parches y la falta de cobertura de autenticación multifactorial (MFA) universal.
“Las medidas de seguridad subsidiarias avanzadas estaban muy lejos de lo que esperamos de una organización que trata con un volumen tan grande de información confidencial”, dijo el comisionado de información John Edwards.
“Si bien Advanced había instalado una autenticación multifactoria en muchos de sus sistemas, la falta de cobertura total significaba que los piratas informáticos podían acceder, que pone en peligro a miles de información personal confidencial”.
Cabe señalar que la multa impuesta a Advanced para el incidente de Ransomware 2022 se reduce considerablemente en comparación con la cifra de 6.09 millones de libras esterlinas ($ 7.74 millones) que ICO consideró previamente y anunció en agosto de 2024.
Sin embargo, esto es significativo porque es la primera multa del Reino Unido impuesta a un procesador de datos en lugar de un controlador de datos.
Los casos notables de multas ICO en los controladores de datos incluyen el récord de 20 millones de libras esterlinas en British Airways por una violación de datos en 2018 y una multa de 18.4 millones de libras esterlinas en Marriott por un incidente de seguridad en 2014.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.