El organismo de control de protección de datos del Reino Unido ha anunciado una multa provisional de 6 millones de libras esterlinas para un proveedor de servicios de TI de atención médica, después de dictaminar que los fallos de ciberseguridad provocaron una grave vulneración de ransomware. La Oficina del Comisionado de Información (ICO) reveló esta mañana la multa de 6,1 millones de libras esterlinas para Advanced Computer Software Group. Está relacionada con un ataque de agosto de 2022 en el que se filtró la información personal de casi 83.000 personas, incluidos números de teléfono y registros médicos, y detalles sobre cómo acceder físicamente a los hogares de 890 personas que estaban recibiendo atención. La vulneración del ransomware también tuvo un importante impacto en los servicios, ya que el personal del NHS no pudo acceder a los registros sanitarios y los informes sugieren que interrumpió las derivaciones de pacientes, las reservas de citas fuera de horario, las recetas de emergencia y los envíos de ambulancias. Lea más sobre la vulneración de Advanced: la recuperación del ataque de ransomware al NHS puede tardar un mes. Advanced gestiona varios sistemas clave para el servicio sanitario, entre ellos el software de gestión de pacientes clínicos (Adastra), el software de gestión financiera (eFinancials) y la línea de asesoramiento médico NHS 111. El Comisionado de Información, John Edwards, argumentó que un sector que ya estaba bajo presión se vio sometido a una mayor presión debido al incidente. “Para una organización a la que se le confió el manejo de un volumen significativo de datos sensibles y de categorías especiales, hemos encontrado provisionalmente graves fallos en su enfoque de la seguridad de la información antes de este incidente”, añadió. “A pesar de que ya había instalado medidas en sus sistemas corporativos, nuestra conclusión provisional es que Advanced no logró mantener seguros sus sistemas sanitarios. Esperamos que todas las organizaciones tomen medidas fundamentales para proteger sus sistemas, como comprobar periódicamente las vulnerabilidades, implementar la autenticación multifactor y mantener los sistemas actualizados con los últimos parches de seguridad”. Edwards instó a todas las organizaciones –“especialmente a las que manejan datos sanitarios sensibles”– a proteger las conexiones externas con la autenticación multifactor (MFA). Se cree que un afiliado de LockBit pudo acceder a los sistemas corporativos de Advanced secuestrando una cuenta que no tenía habilitada la autenticación multifactor y luego iniciando una sesión de Protocolo de escritorio remoto (RDP). Los abogados de Advanced prepararán ahora una respuesta que esperan que ayude a persuadir al regulador para que cambie su decisión y/o reduzca la multa.