英国信息专员办公室(ICO)临时决定对IT服务供应商Advanced处以609万英镑(约合5600万元人民币)罚款,原因是该公司未能防止勒索软件攻击,导致超过8万名患者的信息泄露。
据了解,勒索事件对英国国家医疗服务体系(NHS)的运营造成严重影响。为恢复系统,Advanced公司已投入1830万英镑(约1.7亿人民币)。
ICO官网发布处罚声明
Advanced是一家领先的SaaS(软件即服务)解决方案供应商,为关键行业提供IT和软件支持,服务英国国家医疗服务体系(NHS)等重要机构,业务涉足医疗保健、交通和住房等关键领域。
2022年8月,Advanced遭到勒索软件攻击,致使英国国民医疗服务体系(NHS)医院患者登记、医疗记录、111医疗咨询热线等关键服务系统彻底瘫痪,8万余名患者数据也被勒索组织窃取。
据了解,该公司为了补救勒索攻击带来的影响,已经支出了1830万英镑(约1.7亿人民币)成本,并在2023-24财年持续花费 300 万英镑(约2700万人民币)。
ICO在处罚声明中表示,Advanced在勒索软件攻击发生前就已存在安全风险隐患,这些问题未能得到妥善解决,导致公司在面对勒索攻击时无法采取有效措施保护用户数据,进而严重危及了整个医疗系统的信息安全。
ICO还特别强调,目前对Advanced公司的罚款仅是初步决定。数据泄露事件的详细情况仍在进一步调查之中,最终的处罚结果可能会有所调整。
根据GDPR规定,执法与处罚分为两个层级:
1. 对于违反常规条款的行为,处罚的上限设置为1000万欧元,或者公司上一财年全球营业收入的2%,取两者中的较高值。
2. 针对严重违规情况,罚款上限将提高至2000万欧元,或公司上一财年全球营业收入的4%,同样取两者中的较高值。
消息来源:
1.https://www.computerweekly.com/news/366599880/Advanced-faces-fine-over-LockBit-attack-that-crippled-NHS-111
2.https://techcrunch.com/2024/08/06/uk-data-watchdog-fines-nhs-vendor-advanced-for-security-failures-prior-to-lockbit-ransomware-attack/
3.https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/08/provisional-decision-to-impose-6m-fine-on-software-provider-following-2022-ransomware-attack/
4. https://www.gdprregister.eu/gdpr/gdpr-fines/
相关阅读
1.美国口腔医疗巨头连续两次遭勒索攻击重创,业务复苏缓慢,2024年总营收预计下滑35亿元
2.美国医疗巨头因勒索攻击已损失79亿元,预计总成本将超170亿元
3.美医疗保健供应商交了1.58亿赎金依然无法恢复数据,赎金沦为空谈?
原文始发于微信公众号(勒索病毒头条):勒索攻击致数据泄露,英国医疗体系服务商面临超五千万巨额罚款
