De Britse it-leverancier Advanced heeft wegens een ransomware-aanval een boete van omgerekend 3,7 miljoen euro gekregen. Volgens de Britse privacytoezichthouder ICO, die de boete oplegde, heeft een dochteronderneming van Advanced de privacywetgeving geschonden door geen passende beveiligingsmaatregelen te treffen, zoals multifactorauthenticatie (MFA). Bij de aanval werden de persoonlijke gegevens van meer dan 79.000 mensen gestolen.

Advanced is een grote it-leverancier die onder andere diensten aan de Britse gezondheidszorg levert. In augustus 2022 werd het bedrijf slachtoffer van een ransomware-aanval. Daardoor moest het noodnummer van de Britse gezondheidszorg 111 terugvallen op pen en papier. De landelijke telefoondienst voorziet mensen onder andere van medisch advies, helpt bij herhaalrecepten en laat weten hoe een noodvoorraad van voorgeschreven medicijnen zijn te verkrijgen.

Het systeem wordt ook gebruikt voor het sturen van ambulances naar patiënten en het maken van afspraken voor spoedgevallen en huisartszorg buiten kantooruren. Daarnaast verzorgt Advanced ook anderen systemen voor zorginstellingen, waaronder elektronische patiëntendossiersoftware waar meer dan veertigduizend artsen gebruik van maken.

Vanwege de aanval moest Advanced een deel van de systemen offline halen. Daardoor waren systemen onbereikbaar en moest zorgpersoneel op pen en papier terugvallen. Zo kon zorgpersoneel geen digitale patiëntendossiers inzien. Daarnaast wisten de aanvallers gegevens van ruim 79.000 mensen te stelen, waaronder gevoelige persoonlijke informatie zoals medische dossiers en gegevens om toegang te krijgen tot de woningen van bijna negenhonderd mensen die thuiszorg ontvingen.

"Dit incident toont hoe belangrijk het is om informatiebeveiliging te prioriteren. Het verlies van controle over persoonlijke informatie zal stressvol zijn geweest voor mensen die geen andere keuze hebben dan zorgorganisaties te vertrouwen", liet de Britse Informatiecommissaris John Edwards eerder weten. "Niet alleen is er persoonlijke informatie gestolen, maar hebben we ook meldingen gezien dat dit incident zorgdiensten verstoorde, waardoor die geen patiëntenzorg konden leveren. Een sector die al onder druk staat werd door dit incident verder belast."

Volgens de ICO wisten de aanvallers via een account van een dochteronderneming, waarvoor geen MFA was ingeschakeld, toegang tot systemen van Advanced te krijgen. Naast het ontbreken van MFA werd er ook niet uitgebreid gescand op kwetsbaarheden en was het patchmanagement ontoereikend. De Britse privacytoezichthouder stelt dan ook dat de it-leverancier geen passende technische en organisatorische maatregelen had getroffen om de persoonlijke gegevens te beschermen, zoals het wettelijk verplicht is.

De ICO was van plan een boete van omgerekend 7,2 miljoen euro op te leggen, maar besloot het boetebedrag wegens verschillende redenen aanzienlijk te verlagen. De toezichthouder noemt onder andere de medewerking van Advanced met de Britse gezondheidszorg en het National Cyber Security Centre (NCSC), alsmede het treffen van een vrijwillige schikking, waarbij het bedrijf heeft aangegeven geen beroep tegen de boete te zullen aantekenen.