Las autoridades de protección de datos del Reino Unido han emitido una multa provisional de más de £6 millones a Advanced, proveedor del NHS, después de descubrir que la empresa no logró garantizar adecuadamente la información de miles de personas que luego fue robada en un ataque de ransomware.
Según un comunicado de la Oficina del Comisionado de Información del Reino Unido, se emitió la multa tras determinar que los ciberdelincuentes detrás del ataque de ransomware de agosto de 2022 «accedieron inicialmente a varios sistemas de salud y cuidado de Advanced a través de una cuenta de cliente que no tenía autenticación de múltiples factores».
El ataque cibernético a Advanced provocó una interrupción generalizada en los servicios del NHS en todo el Reino Unido en ese momento, causando cortes en la línea no emergencia 111 del NHS y obligando a hospitales y consultorios médicos a recurrir al papel y lápiz durante semanas. Médicos en los trusts del NHS afectados informaron que no pudieron acceder a los registros de los pacientes.
La firma de respuesta a incidentes Mandiant, que ayudó a investigar el hackeo, dijo que el malware utilizado por la banda de ransomware LockBit se utilizó en el ataque; aunque, LockBit nunca reclamó públicamente la responsabilidad del ciberataque en su sitio de filtración en la web oscura. Eso puede ser una indicación de que una empresa hackeada pudo haber pagado un rescate. Advanced previamente declinó decir si había pagado uno.
Para octubre de 2022, Advanced dijo en su informe posterior al incidente que los ciberdelincuentes ingresaron a la red de Advanced «utilizando credenciales legítimas de terceros», lo que implica que no había autenticación de múltiples factores en la cuenta.
Ahora, la ICO parece confirmarlo.
La ICO dijo que está emitiendo provisionalmente una multa de £6.09 millones ($7.75m) después de que el órgano regulador dijo que Advanced provisionalmente «violó la ley de protección de datos al no implementar medidas de seguridad adecuadas antes del ataque para proteger la información personal que estaba procesando».
El órgano regulador también confirmó que el ciberataque llevó al robo de casi 83,000 personas en el Reino Unido, incluidos números de teléfono y registros médicos, y detalles de «cómo ingresar a los hogares de 890 personas que estaban recibiendo atención en el hogar», según la ICO.
La multa es provisional, dijo el órgano regulador, lo que significa que la penalización puede cambiar. El Comisionado de la ICO, John Edwards, dijo que el órgano regulador tomó la decisión de hacer pública esta información en parte para «evitar incidentes similares en el futuro».
«Insto a todas las organizaciones, especialmente aquellas que manejan datos de salud sensibles, a asegurar urgentemente las conexiones externas con autenticación de múltiples factores», dijo Edwards.
Los portavoces de Advanced no respondieron a una solicitud de comentarios antes de la publicación.