Az Egyesült Királyság Információs Biztosának Hivatala (ICO) bejelentette, hogy ideiglenesen 7,74 millió dollárnyi pénzbírságot tervez kiszabni az Advanced Computer Software Group Ltd-re (Advanced). Az intézkedésre azért került sor, mert a cég nem biztosította megfelelően több mint tízezer felhasználó személyes adatainak védelmét, egy 2022-es ransomware támadás során.
Az Advanced az Egyesült Királyság Nemzeti Egészségügyi Szolgálatának (NHS) szerződött IT-szolgáltatója és tárhelyszolgáltatója, így a támadás utóhatása különösen súlyos volt. Több száz állami és magánegészségügyi szolgáltató volt érintett a 2022. augusztus 4-ig támadást követően.
A biztonsági jogsértés következtében közel 83 ezer ember személyes adatai kerültek nyilvánosságra, köztük 890 otthoni ápolásban részesülő személyé is. Utóbbiak lakcíme mellett a bejutáshoz szükséges információk is szerepeltek.
Az érintetteket azonnal értesítették, ami viszont különösen érdekes, hogy az ellopott teljes adatcsomaggal azóta sem találkoztak a sötét weben.
Demonstrálnak a bírsággal
Az ICO kiemelte, hogy az alapvető biztonsági intézkedések, mint a rendszeres biztonsági frissítések alkalmazása, a kétfaktoros hitelesítés engedélyezése, és a rendszerek ismert sebezhetőségeinek ellenőrzése, létfontosságúak az érzékeny adatok védelmének érdekében. Minden szervezettől elvárják, hogy legalább ezeket a minimális kritériumokat teljesítse.
Az Advanced-nek ez nem sikerült. Ezért az ideiglenes határozat egyfajta demonstrálás is: láthatóan bemutatja, hogy milyen súlyos következményekkel járhat egy-egy mulasztás. Ugyanakkor a 7,74 millió dolláros (2,775 milliárd forintos) bírság még nem végleges, az ICO megvárja az Advanced meghallgatását, mielőtt végleges döntést hozna, így az összeg változhat.
Ha a bírság végül 7,74 millió dollárnál áll meg, az azt jelentené, hogy a büntetés egy főre eső költsége 93,3 dollár. Hozzávetőlegesen 33 600 forint, ami kiemelkedően magasnak számít a hasonló esetekhez képest.
Ez az ügy azonban ékes példája annak, hogy milyen következményekkel járhat az adatvédelem elhanyagolása egy olyan szervezetnél, amely jelentős mennyiségű érzékeny adatot kezel.
(Kép: Elchinator/Pixabay).