NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Brytyjskie Information Commissioner’s Office (ICO) ukarało grzywną w wysokości prawie 1 mln £ spółki South Staffordshire Plc i South Staffordshire Water Plc. Jest to następstwo incydentu bezpieczeństwa, który pozostał niewykryty przez ~dwa lata. Naruszenie dotknęło danych ~633 tys. klientów i pracowników, a zaczęło się od jednego złośliwego maila.
ICO to organ sprawujący nadzór nad przestrzeganiem przepisów o ochronie danych osobowych w Wielkiej Brytanii – można porównać z polskim UODO. W ramach prowadzonych czynności osiągnięto dobrowolne porozumienie z firmą, która przyznała się do naruszenia i zgodziła się zapłacić grzywnę (963900 £) bez odwołania.
Atak rozpoczął się od maila ze złośliwym załącznikiem, który został otwarty przez jednego z pracowników. Spowodowało to zainstalowanie malware, które pozostawało niewykryte w systemach organizacji przez prawie dwa lata (20 miesięcy). Następnie – w maju 2022 roku – atakujący za pośrednictwem zainfekowanego urządzenia uzyskał dostęp do firmowej sieci. Udało mu się także eskalować uprawnienia do poziomu administratora domeny.
Firma wykryła incydent dopiero wtedy, gdy zauważono problemy z wydajnością systemów IT. 15 lipca 2022 roku rozpoczęto wewnętrzne dochodzenie. Następnie – 24 lipca – zgłoszono naruszenie danych osobowych do ICO. W wyniku dalszych czynności znaleziono także wiadomość z żądaniem okupu, którą atakujący bezskutecznie próbował rozesłać do niektórych pracowników. Firma odkryła również, że ponad 4,1 TB wykradzionych danych zostało opublikowanych w darknecie.
W momencie ataku firma przechowywała dane osobowe dotyczące około 1,85 miliona klientów, a także 2791 obecnych pracowników i co najmniej 2298 byłych pracowników.
W darknecie opublikowano dane łącznie 633887 osób. Dotyczyły one:
Dla pracowników dotyczyło to także informacji kadrowych, w tym numerów ubezpieczenia narodowego (National Insurance number).
W przypadku klientów opublikowano nazwy użytkowników i hasła dostępowe do usług online firmy oraz numery kont bankowych.
ICO w reakcji na naruszenie skontrolowało, w jaki sposób firma dba o bezpieczeństwo przetwarzanych danych. Ustalono, że South Staffordshire nie wdrożyło odpowiednich zabezpieczeń wymaganych przez brytyjskie prawo. Nieprawidłowości obejmowały:
Ian Hulme – dyrektor wykonawczy ICO – zaznaczył, że klienci nie mają wpływu na to, która firma wodociągowa ich obsługuje – a żeby skorzystać z usług, muszą podać jej swoje dane osobowe. Dlatego tak ważne jest, aby firmy wodociągowe realizowały obowiązki w zakresie ochrony danych.
Podkreślił również, że czekanie na problemy z wydajnością lub żądanie okupu nie powinno mieć miejsca. Proaktywne działania w zakresie bezpieczeństwa są prawnym obowiązkiem, a nie dodatkową inicjatywą.
Obie strony postępowania – ICO i South Staffordshire – osiągnęły dobrowolne porozumienie. Firma wzięła odpowiedzialność za incydent i zgodziła się zapłacić karę bez odwołania. ICO zredukowało karę o 40%, a więc jej końcowa wysokość to 963900 £.
Jedyne, co jako użytkownicy możemy zrobić, by zmniejszyć skutki podobnego wycieku, to stosowanie unikalnych haseł do każdego konta. Dzięki temu ich wyciek z jednego serwisu nie umożliwi atakującym dostępu do pozostałych kont – będą one zabezpieczone innymi hasłami. Niestety w przypadku usług, z których musimy korzystać i nie mamy wpływu na operatora, niewiele więcej można realnie zmienić.
Źródło: ico.org.uk
~Tymoteusz Jóźwiak
