Een Britse softwareleverancier en dataverwerker hangt een boete van ruim zes miljoen pond boven het hoofd omdat deze te weinig zou hebben gedaan om een grootschalige ransomware-aanval op de gezondheidszorg te voorkomen. Daarbij maakten hackers de gegevens buit van ruim 82.000 mensen, veelal afnemers van de diensten van nationale zorgmoloch National Health Service (NHS).
De zaak speelde in 2022 en deed de zorg in Groot-Brittannië –die toch al onder druk staat– op zijn grondvesten schudden. Doordat het getroffen bedrijf genoodzaakt was een deel van zijn IT-infrastructuur offline te halen, stortte een groot deel van het nationale zorgsysteem in één klap ineen.
Diensten waren niet langer bereikbaar, patiëntgegevens verdwenen, spoedafspraken konden niet meer doorgaan en medewerkers van de landelijke telefoondienst voor gezondheidsadvies, medicijnafname en herhaalrecepten moesten alles met pen en papier doen.
Complete zorgsysteem ontregeld
Bij de ransomware-aanval wisten hackers bovendien gevoelige gegevens buit te maken, waaronder telefoonnummers en medische gegevens. Van een kleine minderheid van de slachtoffers kregen de aanvallers zelfs het thuisadres in bezit of details over hoe de woning te betreden, omdat deze patiënten afhankelijk waren van zorg aan huis.
Het bedrijf dat nu mogelijk moet betalen voor dit omvangrijke security-lek is de Advanced Computer Software Group. Dit was de dataverwerker voor de NHS en andere zorginstellingen. Volgens de Britse privacywaakhond ICO (Information Commissioner’s Office) is het bedrijf in gebreke gebleven wat betreft het toepassen en onderhouden van adequate security-maatregelen.
Te laks met maatregelen treffen
Het bedrijf had meer moeten doen om ervoor te zorgen dat de gevoelige data veilig bleef die het namens de NHS en andere instellingen beheerde. Er vonden te weinig checks plaats op kwetsbaarheden en het bedrijf ging te laks om met het toepassen van security patches.
Bovendien was niet in alle gevallen voorzien in meervoudige authenticatie (multifactor-authentication of MFA) om toegang tot systemen te beperken. De hackers wisten zich juist toegang te verschaffen tot de systemen van Advanced Computer Software door in te breken op een klantaccount zonder MFA.
Het is nog niet zeker of het bedrijf daadwerkelijk dit bedrag moet betalen, het betreft een voorlopig oordeel van de toezichthouder. Advanced mag nog zijn eigen zegje doen alvorens de boete definitief wordt.
Lees ook: Gezondheidszorgsector EU onder vuur van cyberaanvallen