Otoritas perlindungan data Inggris telah mengenakan denda sementara sebesar lebih dari £6 juta kepada pemasok NHS Advanced setelah menemukan bahwa perusahaan tersebut gagal melindungi data ribuan orang yang kemudian diretas saat ada ancaman tebusan.
Dalam sebuah pernyataan, Kantor Komisaris Informasi Inggris mengatakan pihaknya mengeluarkan denda tersebut setelah menemukan bahwa penyerang di balik serangan ransomware pada Agustus 2022 “pada awalnya memperoleh akses ke sejumlah sistem kesehatan dan perawatan canggih melalui akun pelanggan yang tidak memiliki otentikasi multi-faktor.”
Serangan siber terhadap Advanced menyebabkan terganggunya layanan NHS di seluruh Inggris pada saat itu, yang menyebabkan keluarnya jalur non-darurat NHS 111 dan memaksa rumah sakit dan sistem medis untuk menggunakan pena dan kertas selama beberapa minggu. Para dokter yang terkena dampak perwalian NHS juga mengatakan mereka tidak dapat mengakses catatan pasien.
Mandiant, sebuah perusahaan tanggap insiden yang membantu menyelidiki peretasan tersebut, mengatakan malware yang digunakan oleh kelompok ransomware LockBit digunakan dalam serangan tersebut; Namun, LockBit tidak pernah secara terbuka mengaku bertanggung jawab atas serangan siber yang masuk dalam daftar hitamnya. Ini bisa menjadi tanda bahwa perusahaan yang diretas mungkin telah membayar uang tebusan. Eksekutif tersebut sebelumnya menolak mengatakan apakah dia telah membayar.
Pada Oktober 2022, Advanced mengatakan dalam laporannya setelah insiden tersebut bahwa penjahat dunia maya telah menyusup ke jaringan Advanced “menggunakan kredensial pihak ketiga yang sah”, yang berarti tidak ada autentikasi beberapa akun.
Sekarang ICO sepertinya mengkonfirmasi hal ini.
ICO mengatakan akan mengenakan denda sebesar $6,09 juta ($7,75 juta) setelah pengawas mengatakan Advanced “melanggar undang-undang perlindungan data dengan gagal menerapkan langkah-langkah keamanan yang tepat sebelum operasi untuk melindungi privasi data yang sedang diproses.”
Badan pengawas tersebut juga mengkonfirmasi bahwa serangan siber menyebabkan peretasan terhadap sekitar 83.000 orang di Inggris, termasuk nomor telepon dan catatan medis, serta rincian “cara mengakses rumah 890 orang yang berada dalam perawatan di rumah,” kata ICO.
Denda tersebut bersifat sementara, kata inspektur, yang berarti hukumannya dapat berubah. Komisaris ICO John Edwards mengatakan pengawas memutuskan untuk mengumumkan masalah ini kepada publik untuk “mencegah insiden serupa di masa depan.”
“Saya mendorong semua organisasi, terutama yang bekerja di sektor kesehatan, untuk secara proaktif mengamankan komunikasi eksternal dan otentikasi multi-sumber,” kata Edwards.
Pembicara Tingkat Lanjut tidak menanggapi permintaan komentar sebelum dipublikasikan.