Storbritanniens databeskyttelsesmyndighed Information Commissioner's Office (ICO) vil give den britiske it-leverandør Advanced Computer Software Group en bøde på omkring 53 millioner kroner.
Det sker grundet softwareselskabets manglende implementering af sikkerhedsforanstaltninger for at beskytte personoplysninger, hvilket har ramt 82.946 borgere.
Advanced Computer Software Group – også bare kaldet Advanced – har leveret it-tjenester og hosting til det britiske sundhedsvæsen og har derfor håndteret følsomme oplysninger, men selskabet blev i 2022 ramt af et ransomware-angreb, og her var disse data ikke tilstrækkeligt beskyttet, meddeler ICO.
Blandt andet var der flere kompromitterede konti, som ikke havde multifaktor-login. De ramte data dækker over telefonnumre og lægejournaler samt detaljer om, hvordan man får adgang til hjemmene hos 890 mennesker, der modtager pleje i hjemmet.
"De berørte personer er blevet underrettet, og Advanced fandt ingen beviser for, at nogen data blev offentliggjort på det mørke web," fremgår det af ICO’s meddelelse.
"Denne hændelse viser, hvor vigtigt det er at prioritere informationssikkerhed. At miste kontrollen over følsomme personoplysninger må have været foruroligende for folk, der ikke havde andet valg end at sætte deres lid til sundheds- og omsorgsorganisationer," udtaler John Edwards, informationskommissær hos ICO, i meddelelsen og fortsætter:
"Ikke nok med, at personlige oplysninger er kompromitteret, men vi har også set rapporter om, at denne hændelse forårsagede forstyrrelser i nogle sundhedstjenester, hvilket forstyrrede deres evne til at levere patientbehandling. En sektor, der allerede var under pres, blev sat under yderligere pres på grund af denne hændelse."
Særligt for virksomheder, der har fået samfundets tillid til at håndtere denne slags data, er det vigtigt, at der leveres en særlig grad af sikkerhed, lyder det.
"Vi forventer, at alle organisationer tager grundlæggende skridt for at sikre deres systemer, såsom regelmæssig kontrol for sårbarheder, implementering af multifaktorgodkendelse og at holde systemer opdateret med de nyeste sikkerhedsrettelser," udtaler John Edwards.
Beslutningen om bøden er dog foreløbig, og skulle der dukke yderligere detaljer op, kan sagens udfald ændre sig.
"Jeg vælger at offentliggøre denne foreløbige beslutning i dag, da det er min pligt at sikre, at andre organisationer har information, der kan hjælpe dem med at sikre deres systemer og undgå lignende hændelser i fremtiden."
"Jeg opfordrer alle organisationer, især dem, der håndterer følsomme sundhedsdata, til hurtigst muligt at sikre eksterne forbindelser med multi-faktor autentificering," afslutter Edwards.