به گزارش کارگروه بین الملل خبرگزاری سایبربان، این شرکت در ابتدا با جریمهای ۶ میلیون پوندی مواجه بود اما پس از توافق داوطلبانه با دفتر کمیسیونر اطلاعات بریتانیا (ICO)، این مبلغ کاهش یافت.
دفتر کمیسیونر اطلاعات بریتانیا روز پنجشنبه اعلام کرد که ضعفهای امنیتی این شرکت، اطلاعات شخصی ۷۹,۴۰۴ نفر را در معرض خطر قرار داده است.
بر اساس قوانین حفاظت از دادههای اتحادیه اروپا و بریتانیا، سازمانهایی که دادههای شخصی را پردازش و کنترل میکنند، موظف به محافظت از این دادهها هستند و در صورت وقوع حادثه، ممکن است تحت تحقیقات و جریمههای نظارتی قرار بگیرند.
جریمههای مربوط به حملات باجافزاری بهندرت از سوی دفتر کمیسیونر اطلاعات بریتانیا اعمال میشود و این مجازات بیش از دو سال پس از وقوع حادثه صادر شده است.
طبق گزارشهای پیشین، در حالی که حملات باجافزاری در بریتانیا به بالاترین میزان خود رسیده است، تعداد پروندههایی که توسط دفتر کمیسیونر اطلاعات بریتانیا بررسی میشود به پایینترین حد خود کاهش یافته و این موضوع سؤالاتی را درباره ظرفیت و نحوه برخورد این نهاد نظارتی با این مشکل ایجاد کرده است.
حمله باجافزاری به شرکت ادونسد (Advanced) در آگوست ۲۰۲۲، که احتمالاً توسط گروه لاکبیت (LockBit) انجام شده، پس از آن رخ داد که هکرها از طریق یک حساب کاربری فاقد احراز هویت چندمرحلهای (MFA) به سیستمهای یکی از زیرمجموعههای این شرکت دسترسی پیدا کردند.
این حمله باعث ایجاد اختلال گسترده در سراسر بریتانیا شد و از جمله، سرویس اضطراری سیستم سلامت ملی (111) را که برای ارزیابی موارد پزشکی فوری اما غیراضطراری استفاده میشود، از کار انداخت.
پزشکان، پرستاران و سایر کارکنان مجبور شدند به دلیل اختلال در سیستمهای فناوری اطلاعات، کارهای خود را بهصورت دستی انجام دهند که این امر منجر به برگزاری جلسه اضطراری در اتاقهای توجیهی دفتر کابینه (COBR) در دولت بریتانیا شد، زیرا مقامات نگران تأثیر این حمله بر خدمات درمانی بودند.
دفتر کمیسیونر اطلاعات بریتانیا اعلام کرد که در بررسی این حمله مشخص شده است که اطلاعات شخصی ۷۹,۴۰۴ نفر به سرقت رفته، از جمله جزئیات مربوط به نحوه ورود به خانههای ۸۹۰ فردی که خدمات درمانی در منزل دریافت میکردند.
جان ادواردز، کمیسیونر اطلاعات بریتانیا، عنوان کرد:
اقدامات امنیتی زیرمجموعه ادونسد بسیار پایینتر از استانداردهای مورد انتظار برای یک سازمانی بود که چنین حجم بالایی از اطلاعات حساس را پردازش میکند.
او تأکید کرد که اگرچه شرکت ادونسد در بسیاری از سیستمهای خود احراز هویت چندمرحلهای را فعال کرده بود، اما پوشش ناقص این سیستم امنیتی باعث شد که هکرها بتوانند نفوذ کنند و اطلاعات حساس هزاران نفر را به خطر بیاندازند.
اظهارات او پس از وقوع چندین حمله باجافزاری در بخش بهداشت و درمان در سال گذشته مطرح شد، از جمله حملهای که باعث شد همه خانوارهای منطقه دامفریس و گالووی در اسکاتلند نامهای دریافت کنند که به آنها هشدار میداد دادههایشان احتمالاً به سرقت رفته و بهصورت آنلاین منتشر شده است.
در یک حمله دیگر به یک شرکت آسیبشناسی پزشکی، وضعیت اضطراری در چندین بیمارستان در لندن اعلام شد.
این اختلال تاکنون باعث لغو بیش از ۵ هزار قرار ملاقات سرپایی، از جمله صدها عمل جراحی مرتبط با درمان سرطان شده است.
تحلیلهای منتشرشده نشان میدهد که دادههای بیش از ۹۰۰ هزار فرد در این حمله باجافزاری بهصورت آنلاین منتشر شده است.
با این حال، سرویس سلامت ملی انگلستان و شرکت سینوویس (Synnovis) که مسئول حفاظت از اطلاعات بیماران بودند، هنوز تعداد دقیق افراد آسیبدیده را اعلام نکردهاند.
کمیسیونر اطلاعات روز پنجشنبه بیان کرد:
با افزایش حملات سایبری در تمامی بخشها، تصمیم امروز من یادآور این است که سازمانها در صورت عدم اتخاذ تدابیر امنیتی قوی، در معرض خطر حمله قرار خواهند گرفت. من از همه سازمانها میخواهم که تمامی اتصالات خارجی را با احراز هویت چندمرحلهای ایمنسازی کنند تا از اطلاعات عمومی محافظت شود. هیچ توجیهی برای باقی گذاشتن هیچ بخشی از سیستمها در معرض آسیبپذیری وجود ندارد.
دولت بریتانیا وعده داده است که در سال جاری لایحه جدیدی تحت عنوان «امنیت سایبری و تابآوری» را به پارلمان ارائه کند تا با افزایش تهدیدات سایبری مقابله کند.
بر اساس این لایحه، قوانین موجود برای پوشش بیشتر خدمات دیجیتال و زنجیرههای تأمین گسترش خواهد یافت و گزارشدهی اجباری برای حملات سایبری افزایش خواهد یافت.
اوایل امسال، دولت همچنین پیشنهاد اصلاحات گستردهای در نحوه واکنش کشور به حملات باجافزاری ارائه کرد، از جمله ممنوعیت پرداخت باج توسط نهادهای دولتی و الزام تمامی قربانیان به گزارش این حملات به دولت.
