شركة تكنولوجيا المعلومات التابعة لهيئة الخدمات الصحية الوطنية تواجه غرامة قدرها 6 ملايين جنيه إسترليني بسبب اختراق السجلات الطبية | هيئة الخدمات الصحية الوطنية
يواجه مزود برامج غرامة تزيد عن 6 ملايين جنيه إسترليني بسبب هجوم برامج الفدية في عام 2022 الذي أدى إلى تعطيل خدمات NHS والرعاية الاجتماعية في إنكلتراأعلنت الهيئة التنظيمية لحماية البيانات.
قال مكتب مفوض المعلومات (ICO) إنه وجد مؤقتًا أن شركة Advanced Computer Software Group فشلت في تنفيذ التدابير اللازمة لحماية المعلومات الشخصية من بين 82,946 شخصًا تأثروا بالهجوم، والذي تضمن بعض المعلومات الحساسة.
تقدم الشركة خدمات تكنولوجيا المعلومات والبرمجيات للمؤسسات في جميع أنحاء البلاد، بما في ذلك الخدمة الصحية الوطنية ومقدمي الرعاية الصحية الآخرين، الذين يتعاملون مع المعلومات كجزء من دورهم كمعالج للبيانات.
في أغسطس 2022، تمكن المتسللون من الوصول إلى أنظمة الرعاية الصحية للشركة عبر حساب عميل لم يكن لديه مصادقة متعددة العوامل.
أدى الهجوم إلى تعطيل الخدمات الحيوية بما في ذلك NHS 111، وتم أخذ البيانات بما في ذلك أرقام الهواتف والسجلات الطبية، بالإضافة إلى تفاصيل حول كيفية الدخول إلى منازل ما يقرب من 900 شخص يتلقون الرعاية في المنزل.
وفي ذلك الوقت، كشفت مذكرة داخلية صادرة عن هيئة الخدمات الصحية الوطنية في إنجلترا، تم تسريبها إلى صحيفة الجارديان، أن “عدداً من خدمات هيئة الخدمات الصحية الوطنية، بما في ذلك خدمة 111، وبعض مراكز العلاج العاجل، وبعض مقدمي خدمات الصحة العقلية، تستخدم برامج تم فصلها عن الخدمة”. وأضافت: “هذا يمثل تحدياً كبيراً لهذه الخدمات”.
وقال مفوض المعلومات جون إدواردز إن الحادث أظهر مدى أهمية إعطاء الأولوية لأمن المعلومات.
وقال: “إن فقدان السيطرة على المعلومات الشخصية الحساسة سيكون أمرًا مؤلمًا بالنسبة للأشخاص الذين لم يكن لديهم خيار سوى وضع ثقتهم في منظمات الصحة والرعاية.
“ولم يتم المساس بالمعلومات الشخصية فحسب، بل رأينا أيضًا تقارير تفيد بأن هذا الحادث تسبب في تعطيل بعض الخدمات الصحية، مما أدى إلى تعطيل قدرتها على تقديم الرعاية للمرضى.
“القطاع الذي كان يعاني بالفعل من ضغوط كبيرة تعرض لضغوط أكبر بسبب هذه الحادثة.”
وقال إدواردز إنه يأمل أن تشجع الغرامة الشركات على اتخاذ تدابير عاجلة لحماية البيانات الخاصة بشكل أفضل.
وقال: “بالنسبة لمنظمة موثوق بها للتعامل مع حجم كبير من البيانات الحساسة والخاصة، فقد وجدنا مؤقتًا إخفاقات خطيرة في نهجها لأمن المعلومات قبل هذا الحادث.
“على الرغم من تثبيت التدابير بالفعل على أنظمتها المؤسسية، فإن النتيجة المؤقتة التي توصلنا إليها هي أن شركة Advanced فشلت في الحفاظ على أمان أنظمة الرعاية الصحية الخاصة بها.
“نتوقع من جميع المؤسسات أن تتخذ خطوات أساسية لتأمين أنظمتها، مثل التحقق بانتظام من نقاط الضعف، وتنفيذ المصادقة متعددة العوامل، وإبقاء الأنظمة محدثة بأحدث تصحيحات الأمان.
“لقد اخترت الإعلان عن هذا القرار المؤقت اليوم لأنه من واجبي التأكد من أن المنظمات الأخرى لديها المعلومات التي يمكن أن تساعدها في تأمين أنظمتها وتجنب وقوع حوادث مماثلة في المستقبل.
“أحث جميع المنظمات، وخاصة تلك التي تتعامل مع بيانات صحية حساسة، على تأمين الاتصالات الخارجية بشكل عاجل باستخدام المصادقة متعددة العوامل.”
وقالت منظمة مفوض المعلومات إن نتائجها مؤقتة ولا ينبغي التوصل إلى أي استنتاج بعد بشأن ما إذا كان هناك خرق لقانون حماية البيانات.
وقالت الهيئة التنظيمية إنها ستنظر في أي تصريحات من شركة Advanced قبل اتخاذ القرار النهائي بشأن هذه المسألة.
