Watchdog inställd på att bötfälla NHS IT-företag efter hack i journaler

Information Commissioner’s Office (ICO) har provisoriskt utdömt böter på 6 miljoner pund till en NHS-programvaruleverantör för ett dataintrång som drabbade mer än 80 000 personer. Överträdelsen ägde rum 2022 och inkluderade känslig personlig information inklusive medicinska journaler och ”hur man kommer in till 890 personers hem”. Men ICO betonade att det var en provisorisk böter och den skulle vänta med att höra från Advanced Computer Software Group innan den fattade ett slutgiltigt beslut. Den sa att dess första resultat var att personlig information som tillhörde 82 946 personer hade blivit ”exfiltrerad” av hackare.” Inte bara var personlig information äventyrad, utan vi har också sett rapporter om att denna incident orsakade störningar för vissa hälsotjänster, vilket störde deras förmåga att ge patientvård”, säger John Edwards, informationskommissionären. ”En sektor som redan var under press sattes under ytterligare påfrestningar på grund av denna incident.” ICO sa att personer som hade drabbats av hacket hade underrättats, och Advanced hade inte kunnat hitta bevis för att information hade läckt ut på den mörka webben . Kriminella hackare tog offline sju av Advanceds hälsosystem, inklusive programvara som används för patientincheckningar, medicinska anteckningar och NHS 111-tjänsten. Läkare sa till BBC då att det kunde ta månader att bearbeta växande högar av medicinskt pappersarbete orsakat av cyber -attack.Det gjorde att vissa GP-tjänster tvingades göra anteckningar med penna och papper istället för att använda elektroniska system. Hackarna kunde få tillgång till informationen genom att använda en kunds konto som inte hade tillräckligt skydd. Men ICO säger att de trodde Advanced borde ha implementerat åtgärder för att skydda mot denna sårbarhet. ”Jag väljer att offentliggöra detta provisoriska beslut idag eftersom det är min plikt att se till att andra organisationer har information som kan hjälpa dem att säkra sina system och undvika liknande incidenter i framtiden”, sade Edwards. ”Jag uppmanar alla organisationer, särskilt de hantering av känslig hälsodata, för att snabbt säkra externa anslutningar med multifaktorautentisering.”