Le chien de garde prêt à infliger une amende à la société informatique de la NHS après le piratage des dossiers médicaux
L’Office du commissaire à l’information (ICO) a imposé une amende de 6 millions de livres sterling de manière provisoire à un fournisseur de logiciels du NHS suite à une violation de données qui a affecté plus de 80 000 personnes.
La violation a eu lieu en 2022 et incluait des informations personnelles sensibles telles que des dossiers médicaux et « comment entrer dans les foyers de 890 personnes ».
Cependant, l’ICO a souligné qu’il s’agissait d’une amende provisoire et attendrait de recevoir des informations de la part du groupe Advanced Computer Software avant de prendre une décision finale.
Il a déclaré que ses conclusions initiales indiquaient que les informations personnelles appartenant à 82 946 personnes avaient été « exfiltrées » par des pirates informatiques.
« Non seulement des informations personnelles ont été compromises, mais nous avons également vu des rapports indiquant que cet incident a perturbé certains services de santé, entravant leur capacité à fournir des soins aux patients », a déclaré John Edwards, le commissaire à l’information.
« Un secteur déjà sous pression a été encore plus éprouvé en raison de cet incident. »
L’ICO a déclaré que les personnes ayant été affectées par le piratage avaient été informées et qu’Advanced n’avait pas pu trouver de preuves indiquant que des informations avaient été divulguées sur le dark web.
Des pirates informatiques ont mis hors ligne sept systèmes de santé d’Advanced, y compris des logiciels utilisés pour les enregistrements des patients, les notes médicales et le service NHS 111.
Les médecins ont déclaré à la BBC à l’époque qu’il pourrait falloir des mois pour traiter les piles croissantes de documents médicaux causés par l’attaque cybernétique.
Certaines services de médecins généralistes ont été contraints de prendre des notes à la main au lieu d’utiliser des systèmes électroniques.
Les pirates informatiques ont pu accéder aux informations en utilisant le compte d’un client qui n’avait pas une protection suffisante.
Mais l’ICO affirme qu’il estimait qu’Advanced aurait dû mettre en place des mesures pour se protéger contre cette vulnérabilité.
« Je choisis de rendre publique cette décision provisoire aujourd’hui car il est de mon devoir de m’assurer que d’autres organisations disposent d’informations pouvant les aider à sécuriser leurs systèmes et à éviter des incidents similaires à l’avenir », a déclaré M. Edwards.
« J’invite toutes les organisations, en particulier celles qui traitent des données de santé sensibles, à sécuriser de toute urgence les connexions externes avec une authentification à facteurs multiples. »