Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Британский регулятор наказал Advanced за утечку данных клиентов

28/03/25

images (54)

Британский регулятор Information Commissioner’s Office (ICO) объявил о наложении штрафа в размере £3,07 млн на компанию Advanced Computer Software Group Ltd (Advanced) за несоблюдение требований к защите персональных данных. Расследование установило, что в результате инцидента в августе 2022 года были раскрыты данные 79 404 человек, включая конфиденциальную информацию о доступе в дома 890 получателей услуг на дому.

Advanced предоставляет IT-услуги и программное обеспечение организациям, включая Национальную службу здравоохранения (NHS), и обрабатывает персональные данные от их имени, пишет Securitylab. Атака была проведена через клиентский аккаунт без включённой многофакторной аутентификации (MFA). Это привело к широкомасштабному сбою в работе критически важных сервисов, в том числе NHS 111, а также к невозможности у медицинского персонала получить доступ к медицинским записям пациентов.

ICO установило, что дочерняя структура Advanced, отвечающая за здравоохранение и социальную сферу, до инцидента не обеспечила должный уровень технической и организационной безопасности. В частности, в системах отсутствовала полная реализация MFA, не проводилось регулярное сканирование на уязвимости, а управление обновлениями оставалось на неудовлетворительном уровне.

Комиссар по информации Джон Эдвардс отметил, что «меры безопасности дочерней компании Advanced серьёзно не соответствовали ожидаемым стандартам для организаций, работающих с таким объёмом чувствительных данных». Он добавил, что даже при наличии MFA в ряде систем, отсутствие её повсеместного внедрения позволило злоумышленникам получить доступ к информации, подвергнув риску десятки тысяч человек.

По словам Эдвардса, пользователи «должны быть уверены, что организации, которые используют, передают или хранят их данные, соблюдают свои юридические обязательства по их защите». Он подчеркнул, что «никаких оправданий для уязвимости систем не существует» и призвал все организации обеспечить защиту внешних подключений с помощью MFA.

Первоначально ICO объявило о намерении наложить штраф в размере £6,09 млн в августе 2024 года. После получения возражений от Advanced сумма была снижена. Среди учтённых смягчающих факторов — взаимодействие компании с Национальным центром кибербезопасности (NCSC), Национальным агентством по борьбе с преступностью (NCA) и NHS, а также принятые меры по снижению последствий инцидента.

Темы:ВеликобританияПерсональные данныеПреступления2024
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Персональные данные: малый и средний бизнес под прицелом
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Злоумышленники больше не идут напролом в крупные компании, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удобной точкой входа в чужую инфраструктуру
  • Настоящее время
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Мы очень многое объясняем тем, что так сложилось исторически. Удивительным образом, это объяснение не теряет своей актуальности даже в такой сфере “бурного развития”, как вычислительная техника. Конечно, стечением исторических обстоятельств обычно объясняют то, что хотелось бы изменить (то, что всех устраивает, лучше считать достижением и результатом упорного труда). И эти желаемые изменения тяжелого наследия прошлого формируют планы дальнейшего развития – для будущего времени. Что же делать, если в нашем распоряжении только миг между прошлым и будущим?
  • Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг.
    С 30 мая 2025 г. вступили в силу поправки в КоАП РФ, радикально ужесточившие ответственность за утечки персональных данных, в том числе путем введения оборотных штрафов. Судебная практика по этой теме активно формировалась с 2022 г. на фоне растущего числа инцидентов. Нами были изучены 219 судебных решений, вынесенных с 2022 по 2025 годы, для выявления логики регулятора и судов. Хотя с 30 мая дела этой категории будут рассматривать арбитражные суды, многие подходы, вероятно, сохранят свою актуальность.
  • Может ли крупный бизнес защитить ПДн для МСП?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
  • Защита персональных данных с нуля до гигиенического минимума
    С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.
  • Виртуальные офисы для реальной безопасности
    Игорь Вербицкий, директор по информационной безопасности Яндекс 360
    Главное отличие виртуального офиса от набора отдельных сервисов – в управляемости: администратор видит, кто и как работает с данными, может настроить права доступа, обеспечить резервное копирование и защиту.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...