Tras un ataque de ransomware, la Oficina del Comisionado de Información de Reino Unido (ICO) ha tomado una decisión provisional para imponer una multa de £6 millones y ha instado a las organizaciones a revisar sus conexiones externas.
La Oficina del Comisionado de Información de Reino Unido (ICO) emitió un comunicado a principios de este mes, anunciando que han tomado una decisión provisional para multar a Advanced Computer Software Group Ltd (Advanced), una empresa de tecnología sanitaria, por un incidente de ransomware. El incidente en cuestión ocurrió en agosto de 2022, en el cual la ICO determinó que los hackers obtuvieron acceso inicial a los sistemas de salud de Advanced a través de cuentas que carecían de autenticación multifactor, lo cual permitió a los atacantes extraer información personal de más de 82.000 individuos. La brecha de datos afectó servicios críticos como NHS 111, con el personal sanitario sin poder acceder a los registros de los pacientes. Los datos extraídos incluían números de teléfono, registros médicos y detalles sobre cómo acceder a las viviendas de más de 800 personas que reciben atención domiciliaria. Advanced notificó a los individuos afectados y no se ha encontrado evidencia de que los datos hayan sido publicados en la web oscura.
La ICO ha tomado una decisión provisional para imponer una multa de £6 millones a la empresa de tecnología.
Tras una investigación, la ICO ha propuesto una multa provisional de £6,09 millones contra Advanced. Los hallazgos de la ICO revelaron que Advanced no implementó las salvaguardas suficientes para proteger la información personal de 82.946 personas, algunas de los cuales tenían datos considerados como sensibles. A nivel nacional, Advanced provee servicios de TI y software a organizaciones como el NHS y otros proveedores de atención sanitaria, actuando como encargados de tratamiento para estas organizaciones. Es importante destacar que los hallazgos de la ICO son provisionales, y no se debe concluir aun que Advanced haya infringido las leyes de protección de datos o que la multa se hará firme. La ICO considerará cualquier representación hecha por Advanced antes de tomar una decisión final, y la cuantía final de la multa está sujeta a cambios.
La ICO insta a todas las organizaciones, particularmente a aquellas que tratan datos de salud sensibles, a asegurar las conexiones externas con autenticación multifactor.
La ICO ha aprovechado esta oportunidad para enfatizar la importancia de priorizar la seguridad de la información, particularmente en lo que respecta a los datos de salud. A estos efectos, la ICO ha publicado una guía detallada con el fin de ayudar a las organizaciones a proteger sus sistemas contra ataques de ransomware. Los encargados de tratamiento, como Advanced, tienen la responsabilidad de implementar medidas técnicas y organizativas apropiadas para salvaguardar la información personal, lo cual incluye evaluar regularmente las vulnerabilidades, aplicar rápidamente parches de seguridad y mantener los sistemas actualizados. John Edwards, Comisionado de Información del Reino Unido, dijo: «Estoy eligiendo publicitar esta decisión provisional hoy ya que es mi deber asegurarme de que otras organizaciones tengan información que les ayude a asegurar sus sistemas y evitar incidentes similares en el futuro. Insto a todas las organizaciones, especialmente a aquellas que tratan datos de salud sensibles, a asegurar urgentemente las conexiones externas con autenticación multifactor».
La guía de la ICO aclara los roles de los encargados de tratamiento y los responsables de datos, ayudando a las organizaciones a entender los temas de gobernanza.
En el ámbito de la gestión de datos, los encargados de tratamiento operan bajo la dirección de sus clientes, los responsables de datos. Son los responsables los que poseen la autoridad última sobre cómo y por qué se utiliza la información personal. No obstante, los encargados de tratamiento como Advanced tienen su propio conjunto de responsabilidades. La guía de la ICO aclara los roles y las obligaciones de los encargados y responsables de datos en cuanto a la seguridad de la información personal. Esta guía está dirigida a ayudar a las organizaciones a comprender sus roles, y describe los temas de gobernanza que les son relevantes. Se espera que los encargados de tratamiento implementen medidas técnicas y organizativas adecuadas para garantizar que la información personal se mantenga segura, lo que implica evaluar y mitigar riesgos, como examinar rutinariamente las vulnerabilidades, implementar autenticación multifactor y actualizar los sistemas con los parches de seguridad más recientes. La ICO proporciona un conocimiento profundo sobre las responsabilidades y obligaciones tanto de los encargados como de los responsables de datos en una guía adicional publicada por la autoridad.
Eleva tus estándares de protección de datos con Aphaia. Consúltanos y te ayudaremos a reforzar la seguridad y el cumplimiento con el RGPD en tu empresa. Contacta con Aphaia hoy.