Synnovis最终发布2024年勒索软件攻击后的违规通知

一家在2024年遭受最严重数据泄露事件之一的NHS病理服务提供商，终于开始通知其客户有多少数据被盗。

2024年6月对Synnovis的勒索软件攻击导致血液供应短缺，伦敦和东南部地区取消了10,000次紧急门诊预约和超过1700次选择性手术。至少有一例死亡事件与Qilin附属组织实施的这次攻击有关。

2024年6月20日，该组织的威胁行为者发布了400GB数据，声称这些数据是从该公司窃取的，包括患者姓名、NHS号码和血液检测描述。

由于公司拒绝支付赎金，据推测被盗数据随后在网络犯罪地下市场被出售。

然而，直到现在，泄露的程度仍然是个谜，尽管一些估计数字约为100万患者。

Synnovis在本周的更新中表示，目前正在通知受影响的数据控制者——在这种情况下将是其NHS客户。

它补充说：“根据英国数据保护法，每个受影响组织将决定是否需要通知任何患者以及他们将如何进行这些通知。”

该过程将在11月21日前完成，尽管数据控制者本身需要时间筛选相关信息，然后才能通知受影响的患者。

复杂性与延迟

Synnovis将延迟归咎于调查的“异常规模和复杂性”，并补充说在攻击期间“数据从Synnovis的工作驱动器中匆忙且随机地被窃取”。

其声明继续道：“这项调查花费了一年多时间才完成，因为受损的数据是非结构化、不完整和碎片化的，通常很难理解。我们任命了网络安全专家，他们不得不使用高度专业化的平台和定制流程来拼凑这些数据。”

然而，专家们批评了进展缓慢。

Xcape董事会成员Damon Small将17个月的延迟描述为事件响应中“完全不可接受的失败”。

他补充说：“人类影响，包括患者死亡和严重服务中断，远远超过了取证调查的复杂性。”

“当供应商失败时，患者安全和隐私的时钟必须立即开始，而不是17个月后。”

Suzu的首席运营官Denis Calderone认为，延迟可能是由于糟糕的数据管理造成的。

他补充说：“非结构化和碎片化数据不是有效的借口；这是数据管理不足的证据。如果你不能快速识别受损信息，你就在基本数据治理方面彻底失败了。”

“医疗保健领域的事件响应确实很困难，但当据报道一次泄露导致患者死亡并影响近100万人时，行业需要的不仅仅是在闭门后吸取教训。我们需要有助于他人自卫的透明度。”