مورد البرمجيات مجموعة برامج الكمبيوتر المتقدمة يواجه غرامة محتملة قدرها 6.09 مليون جنيه إسترليني بسبب فشله المزعوم في تنفيذ تدابير الأمن السيبراني المناسبة لحماية البيانات الشخصية الحساسة لـ 82946 شخصًا، والتي كانت سرقتها عصابة LockBit ransomware في أعقاب الهجوم على أنظمتها في أغسطس 2022.
الهجوم الإلكتروني على شركة Advanced تسبب هذا في حدوث خلل واسع النطاق في مؤسسات NHS وغيرها من هيئات الرعاية الاجتماعية التي استخدمت نظام إدارة الرعاية المنزلية Caresys، ونظام تسجيل الرعاية Staffplan، وخدمات إدارة المرضى السريرية Adastra. وكان التأثير المباشر الأكبر على مستخدمي خدمة Adastra التي تدعم خدمة المشورة 111 التابعة لـ NHS.
LockBit – الذي كان تم حذفه من قبل وكالة مكافحة الجريمة الوطنية في المملكة المتحدة (NCA) في وقت سابق من عام 2024 – تم اكتشاف لاحقًا أنه تمكن من الوصول إلى شبكة Advanced باستخدام بيانات اعتماد شرعية على حساب تابع لجهة خارجية لم يكن لديه المصادقة متعددة العوامل تم تمكين (MFA).
تم استخدام هذا الحساب لإنشاء بروتوكول سطح المكتب البعيد (RDP) على خادم Staffplan Citrix، حيث تمكنوا من التحرك أفقيًا عبر بيئة Advanced لرفع امتيازاتهم، واستخراج البيانات الحساسة بما في ذلك السجلات الطبية للمرضى وأرقام الهواتف، وتنفيذ خزانة برامج الفدية الخاصة بهم.
وقال جون إدواردز، مفوض المعلومات: “يُظهِر هذا الحادث مدى أهمية إعطاء الأولوية لأمن المعلومات. إن فقدان السيطرة على المعلومات الشخصية الحساسة سيكون أمرًا محزنًا بالنسبة للأشخاص الذين لم يكن لديهم خيار سوى وضع ثقتهم في مؤسسات الرعاية الصحية”.
“لم يقتصر الأمر على المساس بالمعلومات الشخصية فحسب، بل رأينا أيضًا تقارير تفيد بأن هذا الحادث تسبب في تعطيل بعض الخدمات الصحية، مما أدى إلى تعطيل قدرتها على تقديم الرعاية للمرضى. وقد تعرض القطاع الذي يعاني بالفعل من ضغوط شديدة لمزيد من الضغوط بسبب هذا الحادث.
وأضاف إدواردز: “بالنسبة لمنظمة موثوق بها للتعامل مع حجم كبير من البيانات الحساسة والخاصة، فقد وجدنا مؤقتًا إخفاقات خطيرة في نهجها تجاه أمن المعلومات قبل هذا الحادث”.
“على الرغم من تثبيت التدابير بالفعل على أنظمتها المؤسسية، فإن استنتاجنا المؤقت هو أن Advanced فشلت في الحفاظ على أمان أنظمة الرعاية الصحية الخاصة بها. نتوقع من جميع المؤسسات اتخاذ خطوات أساسية لتأمين أنظمتها، مثل التحقق بانتظام من نقاط الضعف، وتنفيذ المصادقة متعددة العوامل، وتحديث الأنظمة بأحدث تصحيحات الأمان.”
وأكد إدواردز أن نتائج مكتب مفوض المعلومات في هذه المرحلة مؤقتة، ولا ينبغي التوصل إلى أي استنتاج بشأن ما إذا كان هناك انتهاك لقانون حماية البيانات أم لا، أو حتى فرض غرامة. وكجزء من عملية التحقيق، يحق لشركة Advanced تقديم تصريحات مدروسة قبل اتخاذ القرار النهائي. وإذا تم تغريم المنظمة في النهاية، فقد يتغير المبلغ.
وقال إدواردز إنه اختار نشر قرار ICO المؤقت لأنه كان من واجبه ضمان حصول المنظمات الأخرى على المعلومات المناسبة لتمكينها من تأمين أنظمتها وتجنب وقوع حوادث مماثلة في المستقبل. وحث جميع المنظمات، وخاصة تلك التي تتعامل مع بيانات صحية حساسة، على تأمين الاتصالات الخارجية بشكل عاجل وفرض سياسات MFA في جميع المجالات.
وأشارت ICO إلى أنه على الرغم من أن معالجي البيانات مثل Advanced يتصرفون بناءً على تعليمات عملائهم، فإن وحدات التحكم في البيانات – في هذه الحالة NHS – التي لديها سيطرة كاملة على كيفية استخدام البيانات، لا يزال لدى المعالجات التزام قانوني تنفيذ تدابير أمنية مناسبة للحفاظ على سلامتها. ويشمل ذلك اتخاذ خطوات لتقييم المخاطر والتخفيف منها، وإجراء فحص الثغرات الأمنية في حوزة تكنولوجيا المعلومات الخاصة بهم، وتنفيذ المصادقة الثنائية، والحفاظ على تحديث الأنظمة.
صرح متحدث باسم شركة Advanced، التي تُتداول الآن باسم OneAdvanced، لمجلة Computer Weekly أن المنظمة أخطرت مكتب مفوض المعلومات في أغسطس 2022 بأنها كانت هدفًا لهجوم برامج الفدية، وتعاونت بشكل كامل مع تحقيقاتها على مدار العامين الماضيين. كما أقروا بإخطار النية الصادر عن الهيئة التنظيمية والذي حدد نتائجها المؤقتة ودعاها إلى تقديم تعهدات بعد ذلك، وهو ما تنوي القيام به.
“لقد قدمنا الدعم للعملاء طوال الحادث ويمكننا أن نؤكد أنه لم يتم إتاحة أي بيانات للجمهور على الإطلاق. لم تتأثر بيانات المرضى التي تتحكم فيها NHS Trusts، ويؤكد مراقبتنا المستمرة أنه لا يوجد دليل على الاحتيال أو سوء الاستخدام. لم يكن هناك أي تأثير على أي من أنظمة خدمة العملاء الأخرى التابعة لشركة Advanced.”
“نعتذر لعملائنا. إنه لأمر مؤسف للغاية أن الجهات الفاعلة في مجال التهديد عطلت خدماتنا في هذا الحادث. نحن نقدر عملائنا في قطاع الرعاية الصحية ونأخذ مسؤوليتنا تجاههم ومرضاهم ومجتمعاتهم على محمل الجد. لا يزال الأمن السيبراني يشكل استثمارًا أساسيًا في جميع أعمالنا، ونواصل التكيف وتطوير استجابتنا للتهديدات والتحديات الأمنية السيبرانية المتغيرة باستمرار.
