客戶遭勒索攻擊,軟件供應商被罰超2800萬元
責編:gltian |2025-03-28 17:13:51英國信息專員辦公室(ICO)對英國國家醫療服務體系(NHS)的一家軟件供應商處以300萬英鎊(約合人民幣2821萬元)罰款,原因是該供應商出現安全漏洞,導致NHS遭受勒索軟件攻擊,79404名患者的個人信息面臨風險。
作為英國數據保護監管機構,ICO表示此次罰款針對的是高級計算機軟件集團(Advanced Computer Software,簡稱OneAdvanced)。OneAdvanced是一家向英國各地組織提供IT和軟件服務的公司,客戶包括NHS和其他醫療機構等,其職責涉及數據管理與信息處理。
勒索攻擊產生惡劣影響,監管認為安全措施不到位
此次數據泄露事件發生于2022年8月,黑客竊取了患者的電話號碼、醫療記錄,以及如何進入890名接受居家護理患者住所的信息。
攻擊者利用了一個未啟用多因素認證的客戶賬號,從而成功獲取這些敏感數據。
監管機構的調查結果顯示,OneAdvanced在事件發生前未能采取適當的安全防護措施,導致此次數據泄露。
這次事件嚴重影響了NHS非緊急醫療求助電話111等關鍵服務,部分醫護人員無法訪問患者病歷,患者登記系統也受到了干擾。
監管機構去年曾對OneAdvanced提出批評,認為該事件給“本已承受巨大壓力的醫療行業”帶來了“額外負擔”。
盡管OneAdvanced在部分系統中實施了多因素認證,但信息專員John Edwards批評其“覆蓋范圍仍然不夠全面”。
Edwards表示:“OneAdvanced子公司的安全措施遠未達到我們對處理如此大規模敏感信息的機構所期望的標準。”
近兩年最高罰單,希望成為業界警示
Edwards認為,這次罰款應成為“一個嚴厲的警示”,提醒所有機構確保“建立完善的安全機制”。
“任何系統的任何部分都不應處于脆弱狀態,沒有任何借口。”
2024年8月,ICO最初提議對OneAdvanced處以609萬英鎊的罰款。然而,在OneAdvanced提交申辯后,ICO對案件進行了全面審查,最終決定將罰款金額減半。監管機構表示,OneAdvanced在攻擊發生后,積極與國家網絡安全中心、國家打擊犯罪局和NHS合作,并采取了相關風險緩解措施。
這是近兩年來ICO發出的最大罰單。事實上,自2023年4月因濫用兒童數據對TikTok處以罰款以來,ICO尚未對任何機構開出超過七位數的罰款。
縱觀ICO歷史上的所有罰單,OneAdvanced此次罰款金額排名第六,低于以下公司(按金額從高到低排序):英國航空、萬豪酒店、TikTok、人臉識別公司Clearview、建筑公司Interserve。
參考資料:https://www.bbc.com/news/articles/cp3yv1zxn94o、https://www.theregister.com/2025/03/27/ransomwared_nhs_software_supplier_nabs/