Advanced проиграла в киберигре с хакерами – крупнейший поставщик IT-услуг для NHS получил многомиллионный штраф за грубые ошибки в кибербезопасности. Как отсутствие многофакторной аутентификации привело к масштабной утечке, сбоям в работе системы 111 и вмешательству регуляторов? Разбираем детали инцидента.

Британский регулятор Information Commissioner’s Office (ICO) оштрафовал компанию Advanced Computer Software Group Ltd (Advanced) на £3,07 млн за нарушение стандартов кибербезопасности. Причина – хакерская атака в августе 2022 года, в результате которой утекли персональные данные 79 404 человек, включая сведения о медицинском обслуживании и доступе в дома пожилых пациентов.

Как взломали Advanced и почему это важно?

Компания Advanced предоставляет IT-услуги Национальной службе здравоохранения Великобритании (NHS) и другим организациям. Однако отсутствие базовых мер защиты, в частности многофакторной аутентификации (MFA) на клиентских аккаунтах, привело к катастрофическим последствиям:

• Хакеры получили доступ к критически важным сервисам, включая систему NHS 111, что вызвало сбои в медицинском обслуживании.

• Персональные данные тысяч британцев оказались в руках злоумышленников. Среди пострадавших – пожилые пациенты, получавшие помощь на дому.

• Расследование ICO выявило грубые нарушения: слабую политику обновления ПО, отсутствие регулярного сканирования уязвимостей и недостаточную защиту внешних подключений.

Реакция регуляторов и снижение штрафа

Как сообщает SecurityLab, первоначально ICO планировал штраф в размере £6,09 млн, однако после возражений компании сумма была снижена. Среди смягчающих факторов – сотрудничество Advanced с правоохранительными органами и экстренные меры по устранению последствий утечки.

Комиссар по информации Джон Эдвардс заявил, что этот инцидент – предупреждение для всех компаний, работающих с персональными данными: “Если вы обрабатываете чувствительную информацию, ваша кибербезопасность должна быть на высшем уровне. MFA – это не опция, а необходимость”.

Что теперь?

Advanced согласилась выплатить штраф без обжалования, но репутационные потери могут оказаться куда серьезнее. Этот случай вновь доказывает, что экономия на кибербезопасности обходится бизнесу слишком дорого.