Gelişmiş Teknoloji 79.000 NHS Hastasının Verilerini Açığa Çıkaran Siber Saldırı İçin £3M Cezaya Çarptırıldı

Bir önemli NHS yazılım tedarikçisi, 79.000 kişinin kişisel verilerini açığa çıkaran 2022 fidye yazılım saldırısından önce düzgün güvenlik önlemlerini uygulamadığı gerekçesiyle £3,07 milyon para cezasına çarptırıldı, bu durum İngiltere’nin veri koruma düzenleyicisi (ICO) tarafından doğrulandı.

Advanced Computer Software Group Ltd (Advanced) sistemlerinde tam kapsamlı çok faktörlü kimlik doğrulama (MFA) uygulaması eksik olduğu için veri koruma düzenlemelerini ihlal etmekten ICO cezası aldı.

Saldırganlar, bu güvenlik zafiyetinden faydalanarak şirketin sağlık ve bakım yan kuruluşuna sızdılar ve NHS 111 hizmetlerini aksatırken hassas verileri çaldılar, ICO tarafından belirtildiği gibi.

UK’nin Bilgi Komiseri olarak görev yapan John Edwards, Advanced’ın yan kuruluş operasyonlarında bulunan güvenlik zafiyetleri konusunda hayal kırıklığını ifade etti.

“Advanced, birçok sistemine çok faktörlü doğrulama kurmuş olsa da, tam kapsama sahip olmaması, hackerların erişim sağlayabileceği anlamına geliyor ve binlerce kişinin hassas kişisel bilgilerini riske atıyor,” diye belirtti. Bu, ICO tarafından raporlandı.

“İnsanlar, tıbbi kayıtlarının güvende olup olmadığı konusunda asla iki kez düşünmek zorunda kalmamalıdır. Hizmetlerden güvenle yararlanabilmek için, kişisel bilgileriyle ilgilenen her kuruluşun -ister kullanıyor, ister paylaşıyor, isterse başkaları adına saklıyor olsun- onu korumak için yasal yükümlülüklerini yerine getirdiğine güvenebilmelidirler,” diye ekledi.

LockBit ransomware grubu, ağ genelinde geniş kapsamlı sistem kesintilerine neden olan bir saldırı gerçekleştirdi. Evde bakım hizmeti alan 890 kişinin ev giriş bilgileri yetkisiz kişilere açık hale geldi, sağlık çalışanları hasta kayıtlarına erişim yeteneklerini kaybetti, bu durum BBC tarafından bildirildi.

ICO, ilk olarak cezayı £6.09 milyon olarak belirledi ancak Advanced’ın Ulusal Siber Güvenlik Merkezi (NCSC) ve Ulusal Suç Ajansı (NCA) gibi yasa uygulayıcı ve siber güvenlik kurumlarıyla işbirliği yapması nedeniyle bu miktarı düşürdü.

Şirket, ICO kararını itiraz etmeksizin kabul etti ve temyiz başvurusunda bulunmayı tercih etmedi.