2025年3月26日,
英国信息专员办公室(ICO)对Advanced公司处以307万英镑的罚款,原因是2022年的一次勒索软件攻击泄露了79404人的敏感个人数据,其中包括国家医疗服务体系(NHS)患者
。
此次网络攻击发生在2022年8月初,当时包括紧急服务在内的各项NHS服务均遭遇严重中断,这表明英国托管服务提供商(MSP)Advanced存在漏洞。
Advanced为NHS提供各种患者管理和健康相关产品,例如:Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan和eFinancials。
该公司没有透露是哪个勒索软件组织攻击他们的细节,但在随后的几天里,即使在Mandiant和微软专家的帮助下,恢复仍然持续了很长时间。
后来Advanced透露,LockBit勒索软件组织是此次攻击的幕后黑手,他们利用泄露的凭证在Staffplan Citrix服务器上建立远程桌面协议(RDP)会话,然后横向进入组织环境。
ICO在其公告中强调,该软件供应商未能实施足够的安全措施来防止造成数据泄露和危及生命的医疗服务中断的漏洞。这些问题主要涉及:漏洞扫描不佳、补丁管理不充分以及缺乏通用的多因素身份验证(MFA)覆盖。
信息专员约翰·爱德华兹(JohnEdwards)表示:Advanced子公司的安全措施严重不符合我们对处理如此大量敏感信息的组织的期望。尽管Advanced在许多系统中安装了多因素身份验证,但由于缺乏全面覆盖,黑客可以获得访问权限,从而使成千上万人的敏感个人信息面临风险。
过去ICO对数据控制者处以罚款的著名案例包括:英国航空公司因2018年数据泄露被处以创纪录的2000万英镑罚款,以及万豪酒店因2014年安全事件被处以1840万英镑罚款。
