Un fournisseur de logiciels du NHS a été condamné à une amende de 3 millions de livres par l’Information Commissioner’s Office (ICO) en raison de défaillances en matière de sécurité qui ont conduit à une attaque par ransomware contre le NHS.
Le groupe Advanced Computer Software a été sanctionné pour une violation qui a mis en danger les informations personnelles de 79 404 personnes, a déclaré l’organisme de surveillance de la protection des données du Royaume-Uni.
L’entreprise fournit des services informatiques et logiciels à des organisations à travers le pays, y compris le NHS et d’autres prestataires de santé, en gérant des informations dans son rôle de sous-traitant de données.
La violation a eu lieu en août 2022, lorsque des pirates ont accédé aux numéros de téléphone et aux dossiers médicaux des patients, ainsi qu’aux détails permettant d’entrer dans les domiciles de 890 personnes recevant des soins à domicile.
Les pirates informatiques non identifiés ont pu accéder aux informations en utilisant le compte d’un client qui n’était pas suffisamment protégé par une authentification à plusieurs facteurs.
L’enquête du régulateur a conclu qu’Advanced n’avait pas mis en place des mesures de sécurité appropriées avant l’incident.
La cyberattaque a entraîné la perturbation de services essentiels, y compris le NHS 111, et a laissé certains membres du personnel de santé dans l’incapacité d’accéder aux dossiers des patients.
Le logiciel utilisé pour faciliter l’enregistrement des patients a également été affecté.
L’année dernière, le régulateur a critiqué Advanced pour l’incident, qui a exercé une « pression supplémentaire » sur un « secteur déjà sous tension ».
Bien que l’entreprise ait installé l’authentification à plusieurs facteurs sur bon nombre de ses systèmes, « le manque de couverture complète » a été critiqué par le Commissaire à l’information John Edwards.
« Les mesures de sécurité de la filiale d’Advanced étaient très en deçà de ce que nous attendrions d’une organisation traitant un volume aussi important d’informations sensibles », a déclaré M. Edwards.
Il a ajouté que l’amende devrait servir de « rappel sévère » aux organisations pour s’assurer qu’elles disposent de « mesures de sécurité robustes ».
« Il n’y a aucune excuse pour laisser une partie de votre système vulnérable », a ajouté M. Edwards.
L’année dernière, l’ICO a annoncé son intention d’imposer une amende provisoire de 6 millions de livres à Advanced pour la violation.
Cependant, l’organisme de surveillance a indiqué que la somme avait été réduite de moitié en raison de l’engagement proactif d’Advanced avec la police, les services de cybersécurité et le NHS suite à l’attaque.
