【安全资讯】英国对软件供应商因2022年勒索软件攻击罚款307万英镑

概要：

英国信息专员办公室（ICO）近日对Advanced Computer Software Group Ltd处以307万英镑的罚款，原因是该公司在2022年遭遇的勒索软件攻击导致79,404名用户的敏感个人数据泄露，包括国家健康服务（NHS）患者的信息。这一事件不仅影响了大量用户的隐私安全，还对NHS的多个服务造成了重大影响。

主要内容：

2022年8月，Advanced Computer Software Group Ltd遭遇了一次严重的网络攻击，导致NHS的多个服务，包括紧急服务111，出现了显著的故障。该公司提供多种患者管理和健康相关产品，攻击后恢复工作耗时较长，尽管得到了Mandiant和Microsoft的支持。调查显示，LockBit勒索软件组织利用被盗凭证在Staffplan Citrix服务器上建立了远程桌面协议（RDP）会话，随后横向移动进入组织环境。

ICO在公告中指出，Advanced未能采取足够的安全措施来保护敏感数据和系统，导致数据泄露和危及生命的健康服务中断。主要问题包括漏洞扫描不充分、补丁管理不当以及缺乏全面的多因素认证（MFA）覆盖。信息专员John Edwards表示，Advanced的安全措施未达到处理大量敏感信息的组织应有的标准。

此次罚款307万英镑相较于ICO在2024年8月考虑的609万英镑罚款有所减少，但这是英国首次对数据处理者而非数据控制者处以罚款，具有重要的标志性意义。