Британський регулятор оштрафував компанію South Staffordshire Water після масштабного витоку персональних даних сотень тисяч людей. Зловмисники майже два роки залишалися всередині мережі компанії непоміченими.
У Великій Британії компанію South Staffordshire Water Plc та її материнську структуру South Staffordshire Plc оштрафували на £963 900 після масштабного витоку персональних даних клієнтів і співробітників. За оцінкою регулятора, інцидент торкнувся 633 887 людей.
Рішення ухвалило Управління уповноваженого з питань інформації Великої Британії (ICO). Регулятор заявив, що компанія допустила серйозні порушення у сфері кібербезпеки, через які зловмисники змогли роками залишатися всередині корпоративної мережі.
South Staffordshire Water забезпечує питною водою близько 1,6 мільйона людей та щодня постачає приблизно 330 мільйонів літрів води. Про кібератаку компанія повідомила ще у 2022 році після того, як інцидент порушив роботу її IT-систем.
Тоді відповідальність за атаку взяло на себе угруповання Cl0p. Спочатку компанія відкидала ці заяви, оскільки хакери помилково назвали іншу жертву. Однак після публікації зразків викрадених даних стало зрозуміло, що витік виглядає справжнім.
Під час розслідування ICO підтвердило, що опубліковані дані дійсно належали South Staffordshire Water Plc. Також з’ясувалося, що компрометація мережі почалася ще у вересні 2020 року.
«Ми оштрафували компанії South Staffordshire Plc та South Staffordshire Water Plc на £963 900 після серйозної кібератаки, в результаті якої особисту інформацію 633 887 осіб було викрадено та опубліковано в даркнеті».
Регулятор додав, що основна фаза атаки тривала з травня до липня 2022 року, а сам інцидент виявив серйозні проблеми в підході компанії до захисту даних.
За інформацією ICO, початковою точкою атаки став фішинговий лист. Після проникнення хакери встановили шкідливе програмне забезпечення, яке залишалося непоміченим приблизно 20 місяців.
У період із травня по липень 2022 року зловмисники поступово розширили свої привілеї в мережі компанії та отримали доступ адміністратора домену. Компрометацію виявили лише після того, як проблеми з продуктивністю IT-систем змусили компанію почати внутрішнє розслідування.
Серед викрадених даних були:
повні імена клієнтів;
домашні адреси;
електронні пошти;
номери телефонів;
дати народження;
банківські реквізити;
облікові дані акаунтів;
HR-інформація співробітників, включно з номерами національного страхування.
ICO також перелічило низку проблем у системі безпеки компанії. Серед них:
слабкий контроль привілеїв;
моніторинг лише близько 5% IT-інфраструктури;
використання застарілих систем на кшталт Windows Server 2003;
проблеми з оновленнями та управлінням вразливостями;
відсутність регулярних внутрішніх і зовнішніх перевірок безпеки.
У регуляторі заявили, що ці недоліки прямо порушували вимоги британського законодавства щодо захисту даних.
Початковий штраф був вищим, однак ICO погодилося зменшити його на 40% через те, що компанія визнала відповідальність, співпрацювала зі слідством та погодилася врегулювати справу без апеляції.
