Otoritas Data Inggris akan Mengenakan Denda pada Pemasok NHS Advanced karena Kegagalan Keamanan Sebelum Serangan Ransomware LockBit

Otoritas perlindungan data Inggris telah mengeluarkan denda sementara lebih dari £6 juta kepada pemasok NHS Advanced setelah menemukan bahwa perusahaan gagal untuk mengamankan informasi ribuan orang yang kemudian dicuri dalam serangan ransomware.

Dalam sebuah pernyataan, kantor Komisioner Informasi Inggris (ICO) mengatakan bahwa denda ini diterbitkan setelah menentukan bahwa para penjahat cyber di balik serangan ransomware pada Agustus 2022 “awalnya mengakses sejumlah sistem kesehatan dan perawatan Advanced melalui akun pelanggan yang tidak memiliki otentikasi multi-faktor.”

Serangan cyber pada Advanced menyebabkan gangguan luas pada layanan NHS di seluruh Inggris pada saat itu, menyebabkan gangguan pada layanan non-kecemasan NHS 111 dan memaksa rumah sakit dan praktek medis untuk kembali menggunakan pena dan kertas selama berminggu-minggu. Dokter di rumah sakit NHS yang terkena dampak melaporkan bahwa mereka tidak bisa mengakses catatan pasien.

Mandiant, perusahaan tanggapan kejadian yang membantu menyelidiki peretasan, mengatakan bahwa malware yang digunakan oleh geng ransomware LockBit digunakan dalam serangan; meskipun, LockBit tidak pernah secara publik mengklaim tanggung jawab atas serangan cyber pada situs dark web mereka. Hal tersebut dapat menjadi indikasi bahwa perusahaan yang diretas mungkin telah membayar uang tebusan. Advanced sebelumnya menolak untuk mengatakan apakah mereka telah membayar uang tebusan.

Pada bulan Oktober 2022, Advanced mengatakan dalam laporan pasca-peristiwa mereka bahwa para penjahat cyber meretas jaringan Advanced “menggunakan kredensial pihak ketiga yang sah,” menyiratkan bahwa tidak ada otentikasi multi-faktor pada akun tersebut.

Sekarang ICO tampaknya mengkonfirmasi hal tersebut.

ICO mengatakan bahwa mereka memprovisional denda sebesar £6,09 juta ($7,75 juta) setelah mengatakan bahwa Advanced secara provisionally “melanggar undang-undang perlindungan data dengan tidak menerapkan langkah-langkah keamanan yang tepat sebelum serangan untuk melindungi informasi pribadi yang sedang mereka proses.”

Penjaga hutan juga mengonfirmasi bahwa serangan cyber menyebabkan pencurian data dari hampir 83.000 orang di Inggris, termasuk nomor telepon dan catatan medis, serta rincian “cara masuk ke rumah dari 890 orang yang sedang menerima perawatan di rumah,” kata ICO.

Denda ini bersifat sementara, kata penjaga hutan, yang berarti hukuman tersebut dapat berubah. Komisioner ICO John Edwards mengatakan bahwa penjaga hutan membuat keputusan untuk mempublikasikan kasus ini sebagian untuk “mencegah kejadian serupa di masa depan.”

“Saya mendesak semua organisasi, terutama yang menangani data kesehatan yang sensitif, untuk segera mengamankan koneksi eksternal dengan otentikasi multi-faktor,” kata Edwards.

Juru bicara Advanced tidak menanggapi permintaan komentar sebelum publikasi.