英国信息专员办公室（ICO）对英国国家医疗服务体系（NHS）的一家软件供应商处以300万英镑（约合人民币2821万元）罚款，原因是该供应商出现安全漏洞，导致NHS遭受勒索软件攻击，79404名患者的个人信息面临风险。

作为英国数据保护监管机构，ICO表示此次罚款针对的是高级计算机软件集团（Advanced Computer Software，简称OneAdvanced）。OneAdvanced是一家向英国各地组织提供IT和软件服务的公司，客户包括NHS和其他医疗机构等，其职责涉及数据管理与信息处理。

勒索攻击产生恶劣影响，监管认为安全措施不到位

此次数据泄露事件发生于2022年8月，黑客窃取了患者的电话号码、医疗记录，以及如何进入890名接受居家护理患者住所的信息。

攻击者利用了一个未启用多因素认证的客户账号，从而成功获取这些敏感数据。

监管机构的调查结果显示，OneAdvanced在事件发生前未能采取适当的安全防护措施，导致此次数据泄露。

这次事件严重影响了NHS非紧急医疗求助电话111等关键服务，部分医护人员无法访问患者病历，患者登记系统也受到了干扰。

监管机构去年曾对OneAdvanced提出批评，认为该事件给“本已承受巨大压力的医疗行业”带来了“额外负担”。

尽管OneAdvanced在部分系统中实施了多因素认证，但信息专员John Edwards批评其“覆盖范围仍然不够全面”。

Edwards表示：“OneAdvanced子公司的安全措施远未达到我们对处理如此大规模敏感信息的机构所期望的标准。”

近两年最高罚单，希望成为业界警示

Edwards认为，这次罚款应成为“一个严厉的警示”，提醒所有机构确保“建立完善的安全机制”。

“任何系统的任何部分都不应处于脆弱状态，没有任何借口。”

2024年8月，ICO最初提议对OneAdvanced处以609万英镑的罚款。然而，在OneAdvanced提交申辩后，ICO对案件进行了全面审查，最终决定将罚款金额减半。监管机构表示，OneAdvanced在攻击发生后，积极与国家网络安全中心、国家打击犯罪局和NHS合作，并采取了相关风险缓解措施。

这是近两年来ICO发出的最大罚单。事实上，自2023年4月因滥用儿童数据对TikTok处以罚款以来，ICO尚未对任何机构开出超过七位数的罚款。

纵观ICO历史上的所有罚单，OneAdvanced此次罚款金额排名第六，低于以下公司（按金额从高到低排序）：英国航空、万豪酒店、TikTok、人脸识别公司Clearview、建筑公司Interserve。

参考资料：https://www.bbc.com/news/articles/cp3yv1zxn94o、https://www.theregister.com/2025/03/27/ransomwared_nhs_software_supplier_nabs/

声明：本文来自安全内参 ，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。