Brytyjskie ICO nałożyło karę w wysokości 3 milionów funtów na brytyjskiego dostawcę usług informatycznych Advanced Software z powodu słabych zabezpieczeń firmy podczas ataku hakerów w 2022 r. Firma świadczy usługi dla dużych klientów w Wielkiej Brytanii, Irlandii, Indiach, Australii, Kanadzie i Stanach Zjednoczonych, zapewniając szeroki wachlarz usług informatycznych, w tym hosting i usługi w chmurze.
Poważny atak ransomware na Advanced Software
Od 2016 roku Advanced jest trzecim co do wielkości dostawcą oprogramowania w Wielkiej Brytanii, zatrudniającym ponad 2400 osób i obsługującym ponad 20 000 organizacji.
Warto odnotować, że jest ona głównym dostawcą usług dla brytyjskiej Narodowej Służby Zdrowia (NHS) i innych organizacji zajmujących się opieką zdrowotną oraz przetwarza dane osobowe w imieniu tych organizacji – stąd problemy z ICO.
Utracono dane 80 000 osób
„Nałożyliśmy na Advanced Computer Software Group Ltd (Advanced) karę pieniężną w wysokości 3,07 mln funtów za niedociągnięcia w zabezpieczeniach, które naraziły na ryzyko dane osobowe 79 404 osób” – głosi mocne rozpoczęcie komunikatu prasowego ICO informującego o karze nałożonej na dostawcę usług.
Można doprecyzować: „Kara ta odpowiada kwocie około 3,9 miliona dolarów amerykańskich lub 3,6 miliona euro.
Kara dotyczy cyberincydentu z sierpnia 2022 r., kiedy to członkowie znanej operacji ransomware LockBit włamali się do spółki zależnej Advanced, uzyskując dostęp do konta, które nie było zabezpieczone uwierzytelnianiem wieloskładnikowym (MFA).
Według ICO, atakujący ostatecznie ukradli dane osobowe 79 404 osób, „w tym szczegóły dotyczące sposobu wejścia do domów 890 osób otrzymujących opiekę domową”.
„Środki bezpieczeństwa zastosowane przez spółkę zależną Advanced okazały się zdecydowanie niewystarczające, aby sprostać oczekiwaniom organizacji przetwarzającej tak dużą ilość poufnych informacji” — powiedział John Edwards, komisarz ds. informacji.
„Mimo że Advanced zainstalowało uwierzytelnianie wieloskładnikowe w wielu swoich systemach, brak pełnego zabezpieczenia oznaczał, że hakerzy mogli uzyskać dostęp, narażając na ryzyko poufne dane osobowe tysięcy osób”.
Łagodna sankcja
ICO pierwotnie planowało nałożyć na Advanced karę pieniężną w wysokości 6,09 mln funtów. Skorygowana opłata w wysokości 3 mln funtów jest uważana za w miarę łaskawą.
Organ nadzorczy przeanalizował odpowiedź firmy na decyzję i znalazł kilka czynników uzasadniających nałożenie łagodniejszej kary.
„Kilka czynników z tych oświadczeń doprowadziło do obniżenia grzywny, w tym proaktywne zaangażowanie Advanced we współpracę z Narodowym Centrum Bezpieczeństwa Cybernetycznego (NCSC), Narodową Agencją ds. Przestępczości (NCA) i NHS w następstwie ataku oraz inne kroki podjęte w celu złagodzenia ryzyka dla osób poszkodowanych” – twierdzi ICO.
Spółka przyjęła do wiadomości decyzję organu regulacyjnego o nałożeniu obniżonej grzywny i zgodziła się zapłacić ostateczną karę w wysokości 3 076 320 funtów bez konieczności składania odwołania.
„Dzisiejsza decyzja jest jaskrawym przypomnieniem, że organizacje, które nie wdrożą solidnych środków bezpieczeństwa, ryzykują, że staną się kolejnym celem ataków” – podkreślił Edwards.
Według ICO organizacje muszą podejmować proaktywne kroki w celu zwalczania zagrożeń cybernetycznych, „takie jak wdrażanie kompleksowego uwierzytelniania wieloskładnikowego (MFA) (lub równoważnego środka), regularne skanowanie w poszukiwaniu luk w zabezpieczeniach i aktualizowanie systemów za pomocą najnowszych poprawek bezpieczeństwa”.
Chroń swoją organizację
Jeśli sprzedajesz usługi informatyczne lub konsultingowe podmiotom trzecim, dokładnie przeanalizuj swoją politykę cyberbezpieczeństwa, aby uniknąć podobnego losu do Advanced Software.
– W natłoku zadań związanych z zarządzaniem dostawami, marketingiem i relacjami z klientami łatwo jest przeoczyć cyberbezpieczeństwo. Ignorowanie go może być kosztowne. Dla małej firmy spotkanie z hakerami może oznaczać bankructwo. Dlatego Bitdefender zdecydowanie zaleca wdrożenie w swojej sieci specjalnego rozwiązania antywirusowego, aby ograniczyć ryzyko skutecznego włamania – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.