Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Brytyjskie Information Commissioner’s Office (ICO) ukarało grzywną w wysokości prawie 1 mln £ spółki South Staffordshire Plc i South Staffordshire Water Plc. Jest to następstwo incydentu bezpieczeństwa, który pozostał niewykryty przez ~dwa lata. Naruszenie dotknęło danych ~633 tys. klientów i pracowników, a zaczęło się od jednego złośliwego maila.
ICO to organ sprawujący nadzór nad przestrzeganiem przepisów o ochronie danych osobowych w Wielkiej Brytanii – można porównać z polskim UODO. W ramach prowadzonych czynności osiągnięto dobrowolne porozumienie z firmą, która przyznała się do naruszenia i zgodziła się zapłacić grzywnę (963900 £) bez odwołania.
Atak rozpoczął się od maila ze złośliwym załącznikiem, który został otwarty przez jednego z pracowników. Spowodowało to zainstalowanie malware, które pozostawało niewykryte w systemach organizacji przez prawie dwa lata (20 miesięcy). Następnie – w maju 2022 roku – atakujący za pośrednictwem zainfekowanego urządzenia uzyskał dostęp do firmowej sieci. Udało mu się także eskalować uprawnienia do poziomu administratora domeny.
Firma wykryła incydent dopiero wtedy, gdy zauważono problemy z wydajnością systemów IT. 15 lipca 2022 roku rozpoczęto wewnętrzne dochodzenie. Następnie – 24 lipca – zgłoszono naruszenie danych osobowych do ICO. W wyniku dalszych czynności znaleziono także wiadomość z żądaniem okupu, którą atakujący bezskutecznie próbował rozesłać do niektórych pracowników. Firma odkryła również, że ponad 4,1 TB wykradzionych danych zostało opublikowanych w darknecie.
W momencie ataku firma przechowywała dane osobowe dotyczące około 1,85 miliona klientów, a także 2791 obecnych pracowników i co najmniej 2298 byłych pracowników.
W darknecie opublikowano dane łącznie 633887 osób. Dotyczyły one:
Dla pracowników dotyczyło to także informacji kadrowych, w tym numerów ubezpieczenia narodowego (National Insurance number).
W przypadku klientów opublikowano nazwy użytkowników i hasła dostępowe do usług online firmy oraz numery kont bankowych.
ICO w reakcji na naruszenie skontrolowało, w jaki sposób firma dba o bezpieczeństwo przetwarzanych danych. Ustalono, że South Staffordshire nie wdrożyło odpowiednich zabezpieczeń wymaganych przez brytyjskie prawo. Nieprawidłowości obejmowały:
Ian Hulme – dyrektor wykonawczy ICO – zaznaczył, że klienci nie mają wpływu na to, która firma wodociągowa ich obsługuje – a żeby skorzystać z usług, muszą podać jej swoje dane osobowe. Dlatego tak ważne jest, aby firmy wodociągowe realizowały obowiązki w zakresie ochrony danych.
Podkreślił również, że czekanie na problemy z wydajnością lub żądanie okupu nie powinno mieć miejsca. Proaktywne działania w zakresie bezpieczeństwa są prawnym obowiązkiem, a nie dodatkową inicjatywą.
Obie strony postępowania – ICO i South Staffordshire – osiągnęły dobrowolne porozumienie. Firma wzięła odpowiedzialność za incydent i zgodziła się zapłacić karę bez odwołania. ICO zredukowało karę o 40%, a więc jej końcowa wysokość to 963900 £.
Jedyne, co jako użytkownicy możemy zrobić, by zmniejszyć skutki podobnego wycieku, to stosowanie unikalnych haseł do każdego konta. Dzięki temu ich wyciek z jednego serwisu nie umożliwi atakującym dostępu do pozostałych kont – będą one zabezpieczone innymi hasłami. Niestety w przypadku usług, z których musimy korzystać i nie mamy wpływu na operatora, niewiele więcej można realnie zmienić.
Źródło: ico.org.uk
~Tymoteusz Jóźwiak
Dożyliśmy czasów, kiedy karane przez państwo są wszystkie ofiary, tj.: klienci firmy, bo ich dane wyciekły oraz firma, z której wykradzono dane, a sprawcy/ów nawet nie próbuje się szukać, bo łatwiej ukarać firmę i zrobić pokazówkę. Smutne to…
to chyba nie do końca tak jest,
sorry ale przez dwa lata nie wykryć włamania i utrzymywać w infrastrukturze nieaktualizowane systemy???
to jak powiesić na drzwiach swojej firmy dużą kartkę “Wyjeżdżam na dwa tygodnie” i pozostawić pootwierane okna,
we włoszech karani są kierowcy którzy pozostawiają uchylone okno w samochodzie, ponieważ to stwarza okazje do włamań i kradzieży i to wcale nie powoduje że złodzieja się nie ściga
kara jest za lekceważący stosunek do powierzonego mienia ( tym wypadku dane osobowe pracowników i klientów), a domyślam się że śledztwo w sprawie włamania się i tak toczy, tylko przez dwa lata można już ładnie pozacierać ślady a logi mogą już dawno wyexpirować
Trzeba brać odpowiedzialność za to co się robi