Det britiske datatilsyn, Information Commissioner's Office (ICO), har afsløret, at Advanced Computer Software Group - som leverer IT- og softwaretjenester til organisationer over hele landet - har fået en bøde for manglende sikkerhedsforanstaltninger.
Hackere fik adgang til nogle af virksomhedens sundheds- og omsorgssystemer ved at bruge en kundekonto, som ikke havde aktiveret multifaktorgodkendelse (MFA) i august 2022.
En undersøgelse foretaget af ICO afslørede, at personlige oplysninger om 79.404 personer var blevet stjålet - herunder adgangsoplysninger til hjemmene hos 890 personer, der modtog hjemmepleje.
Angrebet forstyrrede også kritiske tjenester, herunder NHS 111, og betød, at visse sundhedsansatte ikke kunne få adgang til patientjournaler. Tilsynet konkluderede, at den berørte Advanced-division ikke havde de nødvendige sikkerhedsforanstaltninger på plads før hændelsen.
"Sikkerhedsforanstaltningerne hos Advanceds datterselskab levede på ingen måde op til, hvad vi forventer af en organisation, der behandler så store mængder følsomme oplysninger," sagde informationskommissær John Edwards ifølge Sky News.
"Selvom Advanced havde installeret multifaktorgodkendelse på mange af sine systemer, betød manglende dækning, at hackere kunne få adgang og bringe tusindvis af menneskers følsomme data i fare. Folk skal aldrig behøve at tvivle på, om deres medicinske journaler er i sikre hænder."
"For at kunne benytte sig af tjenester med tillid, skal de kunne stole på, at enhver organisation, der håndterer deres personlige oplysninger - uanset om det er ved brug, deling eller opbevaring - opfylder sine juridiske forpligtelser om beskyttelse."
"Med det stigende antal cyberangreb på tværs af alle sektorer, er min beslutning i dag en klar påmindelse om, at organisationer risikerer at blive det næste mål uden robuste sikkerhedsforanstaltninger."
"Jeg opfordrer alle organisationer til at sikre, at alle eksterne forbindelser er beskyttet med MFA i dag - der er ingen undskyldning for at efterlade nogen del af systemet sårbart."
Sidste år meddelte ICO sin foreløbige hensigt om at give Advanced en bøde på lidt over 6 millioner pund, men den endelige bøde blev reduceret på grund af virksomhedens aktive samarbejde med National Cyber Security Centre (NCSC), National Crime Agency (NCA) og NHS efter angrebet.
