Anh: Nhà cung cấp phần mềm bị phạt 3,07 triệu Bảng vì ransomware

Văn phòng Ủy viên Thông tin Anh (ICO) đã ban hành lệnh phạt 3,07 triệu bảng Anh đối với công ty Advanced Computer Software Group Ltd vì cuộc tấn công bằng phần tống tiền (ransomware) năm 2022 làm lộ dữ liệu cá nhân nhạy cảm của 79.404 người, bao gồm cả bệnh nhân của Dịch vụ Y tế Quốc gia (NHS).

Cuộc tấn công mạng được công bố vào đầu tháng 8/2022 khi nhiều dịch vụ Y tế, bao gồm 111 dịch vụ khẩn cấp bị gián đoạn đáng kể, cho thấy vi phạm xảy ra tại nhà cung cấp dịch vụ được quản lý (MSP) của Anh là Advanced.

Advanced đã cung cấp cho NHS nhiều sản phẩm liên quan đến quản lý bệnh nhân và sức khỏe như Adastra, Caresys, Carenotes, Odyssey, Crosscare, Staffplan và eFinancials.

Công ty không chia sẻ nhiều thông tin chi tiết về nhóm ransomware nào đã xâm phạm chúng, nhưng rõ ràng là việc khôi phục những ngày sau đó sẽ mất rất nhiều thời gian, ngay cả khi có sự trợ giúp của các chuyên gia tại Mandiant và Microsoft.

Được biết, sau đó nhóm ransomware LockBit chịu trách nhiệm cho cuộc tấn công, lợi dụng thông tin xác thực bị xâm phạm để thiết lập phiên giao thức máy tính để bàn từ xa (RDP) trên máy chủ Citrix của Staffplan trước khi chúng di chuyển ngang vào môi trường của các mục tiêu.

Mới đây, ICO đã công bố khoản tiền phạt khổng lồ 3,07 triệu bảng Anh (3,95 triệu đô la) đối với Advanced vì không bảo vệ dữ liệu và hệ thống nhạy cảm khỏi tin tặc.

Trong thông báo của mình, ICO nhấn mạnh rằng, nhà cung cấp phần mềm đã không triển khai các biện pháp bảo mật đầy đủ để ngăn chặn vi phạm gây ra việc lộ dữ liệu và ngừng hoạt động của dịch vụ y tế gây nguy hiểm đến tính mạng của bệnh nhân.

Những thiếu sót này chủ yếu liên quan đến việc quét lỗ hổng kém, quản lý bản vá không đầy đủ và thiếu phạm vi xác thực đa yếu tố (MFA) toàn diện.

Theo các chuyên gia, các biện pháp bảo mật của công ty con của Advanced không đáp ứng được kỳ vọng dành cho một tổ chức xử lý khối lượng thông tin nhạy cảm lớn như vậy. Mặc dù Advanced đã cài đặt xác thực đa yếu tố trên nhiều hệ thống của mình, nhưng việc thiếu phạm vi bảo vệ hoàn toàn có nghĩa là tin tặc có thể truy cập, khiến thông tin cá nhân nhạy cảm của hàng nghìn người gặp rủi ro.

Điều đáng chú ý là khoản tiền phạt áp dụng cho Advanced đối với sự cố ransomware năm 2022 đã giảm đáng kể so với con số 6,09 triệu bảng Anh (7,74 triệu đô la Mỹ) mà ICO đã xem xét trước đó và công bố vào tháng 8/2024.

Tuy nhiên, điều này rất quan trọng vì đây là khoản tiền phạt đầu tiên ở Vương quốc Anh áp dụng cho bộ xử lý dữ liệu thay vì bộ điều khiển dữ liệu.

Các trường hợp đáng chú ý về khoản tiền phạt ICO trước đây đối với bộ điều khiển dữ liệu bao gồm khoản tiền phạt kỷ lục 20 triệu bảng Anh đối với British Airways vì vi phạm dữ liệu năm 2018 và khoản tiền phạt 18,4 triệu bảng Anh đối với Marriott vì sự cố bảo mật năm 2014.