3 miliony funtów grzywny po ataku ransomware powiązanym z NHS: Co sprawa ICO przeciwko Advanced mówi nam o cyberodpowiedzialności w służbie zdrowia?
- Katarzyna Celińska
- 2 kwi
- 3 minut(y) czytania
W dniu 27 marca 2025 r. Biuro Komisarza ds. Informacji nałożyło grzywnę w wysokości 3,07 mln funtów na Advanced Computer Software Group Ltd. w następstwie ataku ransomware w sierpniu 2022 r., który zakłócił usługi w całej NHS i ujawnił bardzo wrażliwe dane osobowe.
Co się stało
✅ Hakerzy uzyskali dostęp za pośrednictwem konta klienta bez MFA.
✅ Ucierpiało 82 946 osób - w tym dane dostępu do domu 890 wrażliwych pacjentów otrzymujących opiekę.
✅ Zakłócone zostały usługi NHS i inne krytyczne usługi zdrowotne.
✅ Dochodzenie wykazało brak:
☑️ Pełne pokrycie MFA
☑️ Regularne skanowanie podatności
☑️ Skuteczne zarządzanie poprawkami
Podsumowanie egzekwowania przepisów przez ICO
✅ Początkowa proponowana grzywna: 6,09 mln GBP (sierpień 2024 r.)
✅ Ostateczna kara: 3,07 mln GBP, po dobrowolnej ugodzie
Advanced współpracował z NCSC, NCA i NHS w celu złagodzenia szkód
ICO potwierdziło poważne naruszenie art. 32 UKGDPR w związku z niezabezpieczeniem systemów przetwarzających dane kategorii specjalnej.
Na podstawie ostatnich raportów ENISA sektor opieki zdrowotnej pozostaje najmniej dojrzałym pod względem cyberbezpieczeństwa spośród sektorów objętych NIS2.
Jest to niepokojące, ponieważ:
✅ Opieka zdrowotna jest również jednym z sektorów najczęściej atakowanych przez ransomware.
✅ Wiele organizacji nadal nie wdraża nawet podstawowych zasad bezpieczeństwa.
✅ Niezależnie od tego, czy w UE zgodnie z NIS2 i RODO, w Wielkiej Brytanii zgodnie z brytyjskim RODO, czy w USA zgodnie z HIPAA - wymagania są w 95% takie same.
Wszystkie wymagają:
☑️ Solidne uwierzytelnianie
☑️ Zarządzanie łatkami i lukami w zabezpieczeniach
☑️ Kontrola dostępu
☑️ Reagowanie na incydenty
☑️ Ocena ryzyka
☑️ Bezpieczeństwo już na etapie projektowania
Fakt, że minimalne oczekiwane zabezpieczenia nadal nie są stosowane, nawet gdy atakujący konsekwentnie atakują ten sektor, jest nie tylko frustrujący - jest alarmujący. Organizacje opieki zdrowotnej muszą przestać traktować cyberbezpieczeństwo jako opcjonalne lub drugorzędne. Ryzyko jest realne, atakujący są aktywni, a oczekiwania regulacyjne są jasne. Grzywny takie jak ta nie będą ostatnimi.
Ale ta sprawa nie dotyczy tylko błędu w zabezpieczeniach u jednego dostawcy usług medycznych. Podkreśla on podatność na zagrożenia w całym łańcuchu dostaw. Wpływ nie był ograniczony do jednej organizacji, ale rozprzestrzenił się na wiele połączonych usług, wpływając na całe łańcuchy świadczenia opieki. Właśnie dlatego silny, operacyjny program TPRM i Supply Chain Risk Management nie jest już opcjonalny - jest niezbędny.
Link 2

£3M Fine After NHS-Linked Ransomware Attack: What the ICO Case Against Advanced Tells Us About Cyber Accountability in Healthcare
On 27 March 2025, the Information Commissioner's Office issued a £3.07 million fine to Advanced Computer Software Group Ltd, following a ransomware attack in August 2022 that disrupted services across the NHS and exposed highly sensitive personal data.
What happened
✅ Hackers gained access via a customer account lacking MFA.
✅ 82,946 individuals were affected — including the home access details of 890 vulnerable patients receiving care.
✅ NHS and other critical health services were disrupted.
✅ Investigation found lacked:
☑️ Full MFA coverage
☑️Regular vulnerability scanning
☑️Effective patch management
ICO Enforcement Summary
✅ Initial proposed fine: £6.09 million (Aug 2024)
✅ Final penalty: £3.07 million, following a voluntary settlement
Advanced cooperated with NCSC, NCA, and NHS to mitigate harm
ICO confirmed a serious breach of Article 32 UKGDPR for failing to secure systems processing special category data
Based on recent ENISA reporting, the health care sector remains the least mature in cybersecurity across NIS2-covered sectors.
This is concerning because:
✅ Healthcare is also one of the most attacked sectors by ransomware.
✅ Many organizations still fail to implement even basic security baselines.
✅ Whether in the EU under NIS2 and GDPR, in the UK under UK GDPR, or in the US under HIPAA — the requirements are 95% the same. They all call for:
☑️Robust authentication
☑️Patch and vulnerability management
☑️Access control
☑️Incident response
☑️Risk assessments
☑️Security by design
The fact that minimum expected safeguards are still not in place, even when attackers are consistently targeting the sector, is not only frustrating—it’s alarming. Healthcare organizations must stop treating cybersecurity as optional or secondary. The risks are real, the attackers are active, and the regulatory expectations are clear. Fines like this one won’t be the last.
But this case isn’t only about a security failure within one healthcare vendor. It highlights a supply chain-wide vulnerability. The impact wasn’t limited to one organisation, but rippled across multiple connected services, affecting entire care delivery chains. That’s why a strong, operational TPRM and
Supply Chain Risk Management program is no longer optional — it’s essential.
Autor: Sebastian Burgemejster
Comentários