Multa de £6 milhões à empresa de TI do NHS após denúncia de dados confidenciais
A Information Commissioner’s Office (ICO) anunciou uma multa provisória de £ 6 milhões à empresa de software Advanced Computer Software Group, fornecedora do NHS, após uma grave violação de dados que expôs informações confidenciais de mais de 80.000 pessoas, incluindo registros médicos e orientações de acesso a residências. A frase-chave “violação de dados do NHS” destaca a gravidade do incidente.
A violação de dados ocorreu em 2022, comprometendo a segurança de informações pessoais de 82.946 pessoas, que foram “exfiltradas” por hackers. Além do impacto direto nas vítimas, o ataque também causou interrupções intermediárias nos serviços de saúde, incluindo o software usado para check-ins de pacientes e registros médicos, dificultando o atendimento e a operação regular dos serviços.
Segundo John Edwards, Comissário de Informação do ICO, o setor de saúde, que já enfrentou desafios significativos, foi ainda mais sobrecarregado pela falha de segurança. Ele enfatizou a importância das organizações que lidam com dados sensíveis, como os de saúde, adotarem medidas rigorosas de proteção, especialmente através da autenticação multifator para conexões externas.
A Advanced, responsável pelo software comprometido, afirmou que, apesar da gravidade do ataque, não encontrou evidências de que as informações vazadas foram divulgadas na dark web. No entanto, a vulnerabilidade explorada pelos hackers foi identificada como uma falha na proteção de uma conta de cliente, o que, segundo o ICO, poderia ter sido evitada com medidas de segurança adequadas.
Lauren Wills-Dixon, advogada especializada em privacidade, reforça que organizações que processam dados sensíveis devem investir em medidas técnicas e organizacionais robustas. Ela ressaltou a necessidade de uma infraestrutura de TI resistente, políticas de segurança bem definidas e um plano de recuperação de desastres para mitigar riscos futuros.
Uma multa provisória de £ 6 milhões serve como um alerta para outras empresas, enfatizando a importância da segurança da informação em ambientes de saúde, onde a proteção de dados sensíveis é crucial para o funcionamento e a confiança do sistema.