Водопостачальна компанія South Staffordshire, до якої входять South Staffordshire Plc та South Staffordshire Water Plc, була оштрафована на £963,900 Управлінням інформаційного комісара (ICO) після того, як під час кібератаки були зламані особисті дані сотень тисяч клієнтів.
Компанія обслуговує райони Південного Стаффордширу, Уолсолла, Дадлі, Північного Уорікширу, Північного Вустерширу та Південного Дербіширу.
Особисті дані 633,887 осіб були викрадені та опубліковані в темному вебі в результаті нападу, який відбувався переважно між травнем та липнем 2022 року, як встановило ICO.
Регулятор і водопостачальна компанія досягли добровільної угоди, і South Staffordshire визнала свою провину, погодившись на сплату штрафу без апеляції.
Атака була запущена за допомогою фішингового електронного листа, що дозволило кіберзловмисникам встановити шкідливе програмне забезпечення, яке залишалося непоміченим у системах організації протягом 20 місяців.
У травні 2022 року зловмисник отримав доступ до мережі компанії та захопив адміністративні привілеї — найвищий рівень доступу до ІТ-мережі, як зазначило ICO.
Витік даних став відомий під час внутрішнього розслідування, яке було розпочато 15 липня 2022 року через проблеми з продуктивністю ІТ-систем.
Компанія повідомила про витік особистих даних кілька днів потому, а 26 липня 2022 року South Staffordshire виявила записку з вимогою викупу, яку зловмисник намагався надіслати певним співробітникам.
Між серпнем і листопадом 2022 року South Staffordshire з’ясувала, що на темному вебі було опубліковано понад 4,1 терабайта даних, що включають банківські реквізити клієнтів та номери національного страхування співробітників.
Розслідування ICO виявило, що South Staffordshire не забезпечила адекватний контроль безпеки відповідно до закону про захист даних у Великій Британії, що дозволило хакерам отримати доступ до адміністративних привілеїв.
Крім того, зловмисники могли працювати переважно непоміченими через мінімальний моніторинг їхньої діяльності, використання застарілих систем компанії та відсутність регулярних перевірок безпеки.
Іан Халм з ICO зазначив: “Очікувати на проблеми з продуктивністю або записку з вимогою викупу для виявлення витоку є неприйнятним. Проактивна безпека є законодавчою вимогою, а не необов’язковим доповненням.”
Слідкуйте за новинами BBC Stoke & Staffordshire на BBC Sounds, Facebook, X та Instagram.
