.
O órgão regulador de proteção de dados do Reino Unido diz que planeja multar um fornecedor de software gerenciado do NHS em £ 6,09 milhões (US$ 7,7 milhões) por falhas que levaram a um ataque de ransomware em 2022.
Ao ler o comunicado à imprensa, percebemos que nunca vimos a palavra “provisoriamente” aparecer tantas vezes em um texto tão curto, mas o Information Commissioner’s Office (ICO) realmente tentou enfatizar o fato de que nada é definitivo e a punição final será decidida depois que o fornecedor se pronunciar sobre o assunto.
Esse fornecedor é o Advanced Computer Software Group; você deve se lembrar dele O registro histórias publicadas há quase dois anos no dia. A Advanced tirou seus sistemas do ar em 4 de agosto de 2022, em um incidente que acabou sendo atribuído à LockBit, em seu apogeu que felizmente agora acabou.
Operadores de telefone não emergenciais do NHS na linha 111 foram forçados a voltar a operar com caneta e papel, já que as interrupções continuaram por semanas. Alguns sistemas ainda estavam inativos em outubro daquele ano.
Há uma série de coisas que realmente irritaram o comissário de informação John Edwards sobre esse caso em particular. Por um lado, o incidente foi permitido, disse o ICO, porque uma conta de cliente sem autenticação multifator (MFA) foi usada para violar os sistemas do fornecedor.
Sabemos especificamente, porém, que credenciais legítimas foram usadas para criar uma sessão de área de trabalho remota no servidor Citrix Staffplan da Advanced.
“Durante a sessão de logon inicial, o invasor se moveu lateralmente no ambiente de saúde e assistência médica da Advanced e escalou privilégios, permitindo que eles conduzissem reconhecimento e implantassem malware de criptografia. Imediatamente antes de criptografar os sistemas, o agente da ameaça copiou e exfiltrou uma quantidade limitada de dados”, disse a atualização de outubro de 2022.
Há também a questão não tão pequena do volume de dados roubados. Dados pessoais pertencentes a 82.946 pessoas foram levantados, dizem as descobertas provisórias do ICO.
Números de telefone foram roubados, o que não é ótimo, mas também não é inesperado em uma violação de dados. Registros médicos também foram roubados, o que, novamente, não é nada bom, mas todos os ataques recentes a provedores de saúde tornaram isso um pouco a norma hoje em dia.
No entanto, a afiliada da LockBit responsável por isso também roubou arquivos que incluíam detalhes de como obter acesso às casas de 890 pessoas que recebiam atendimento em seu endereço.
O Advanced não encontrou nenhuma evidência de que isso tenha sido publicado online, mas projetos sobre como obter acesso à casa de uma pessoa vulnerável — esse é exatamente o tipo de dado que, nas mãos mais erradas, pode levar a resultados terríveis.
“Este incidente mostra o quão importante é priorizar a segurança da informação”, disse Edwards hoje. “Perder o controle de informações pessoais sensíveis deve ter sido angustiante para pessoas que não tiveram escolha a não ser confiar em organizações de saúde e assistência.
“Não apenas informações pessoais foram comprometidas, mas também vimos relatos de que esse incidente causou interrupção em alguns serviços de saúde, interrompendo sua capacidade de fornecer atendimento ao paciente. Um setor já sob pressão foi colocado sob ainda mais tensão devido a esse incidente.
“Para uma organização confiável para lidar com um volume significativo de dados sensíveis e de categoria especial, encontramos provisoriamente falhas sérias em sua abordagem à segurança da informação antes deste incidente. Apesar de já ter instalado medidas em seus sistemas corporativos, nossa descoberta provisória é que a Advanced falhou em manter seus sistemas de saúde seguros. Esperamos que todas as organizações tomem medidas fundamentais para proteger seus sistemas, como verificar regularmente vulnerabilidades, implementar autenticação multifator e manter os sistemas atualizados com os patches de segurança mais recentes.
“Estou escolhendo divulgar esta decisão provisória hoje, pois é meu dever garantir que outras organizações tenham informações que possam ajudá-las a proteger seus sistemas e evitar incidentes semelhantes no futuro. Peço a todas as organizações, especialmente aquelas que lidam com dados de saúde sensíveis, que protejam urgentemente as conexões externas com autenticação multifator.”
O registro entrou em contato com a Advanced para obter uma resposta, mas ela não respondeu.
Na época do ataque, a Advanced tinha 36 clientes do NHS usando seus vários produtos. O Adastra, seu sistema de gerenciamento clínico de pacientes, que ainda é usado pelos serviços de saúde, estava entre as soluções afetadas e era usado na época por 85% dos serviços do NHS 111. ®
.
