文章最后更新时间2025年04月20日,若文章内容或图片失效,请留言反馈!
英国信息专员办公室 (ICO) 对高级计算机软件集团有限公司处以 307 万英镑的罚款,原因是 2022 年的一次勒索软件攻击泄露了 79,404 人的敏感个人数据,其中包括国家医疗服务体系 (NHS) 患者。此次网络攻击发生在 2022 年 8 月初,当时包括 111 紧急服务在内的各项 NHS 服务均遭遇严重中断,这表明英国托管服务提供商 (MSP) Advanced 存在漏洞。Advanced 为 NHS 提供各种患者管理和健康相关产品,例如 Adastra、Caresys、Carenotes、Odyssey、Crosscare、Staffplan 和 eFinancials。该公司没有透露有关哪个勒索软件组织攻击他们的很多细节,但在随后的几天里,很明显,即使在 Mandiant 和微软专家的帮助下,恢复仍将需要很长时间。后来透露,LockBit 勒索软件组织是此次攻击的幕后黑手,他们利用泄露的凭证在 Staffplan Citrix 服务器上建立远程桌面协议 (RDP) 会话,然后横向进入组织环境。今天,ICO 宣布对 Advanced 处以 307 万英镑(395 万美元)的巨额罚款,以惩罚其未能保护敏感数据和系统免遭黑客攻击。ICO 在其公告中强调,该软件供应商未能实施足够的安全措施来防止造成数据泄露和危及生命的医疗服务中断的漏洞。这些遗漏主要涉及漏洞扫描不佳、补丁管理不充分以及缺乏通用的多因素身份验证 (MFA) 覆盖。信息专员约翰·爱德华兹 (John Edwards) 表示:“Advanced 子公司的安全措施严重不符合我们对处理如此大量敏感信息的组织的期望。”尽管 Advanced 已在其许多系统中安装了多因素身份验证,但由于缺乏全面覆盖,黑客可以获得访问权限,从而使成千上万人的敏感个人信息面临风险。值得注意的是,2022 年勒索软件事件对 Advanced 处以的罚款与 ICO 之前考虑并于 2024 年 8 月宣布的609 万英镑(774 万美元)相比大幅减少。然而,这意义重大,因为这是英国第一起针对数据处理者而非数据控制者处以的罚款。过去ICO 对数据控制者处以罚款的著名案例包括:英国航空公司因 2018 年数据泄露被处以创纪录的 2000 万英镑罚款,以及万豪酒店因 2014 年安全事件被处以 1840 万英镑罚款。 推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网
还没有评论,来说两句吧...