Adatvédelmi bírság
Az Egyesült Királyság adatvédelmi hatósága, az ICO közel 1 millió fontos bírságot szabott ki a South Staffordshire Waterés anyavállalata ellen egy súlyos kibertámadás miatt, amely során 633 887 ügyfél és alkalmazott személyes adatai kerültek ki a dark webre. A támadás eredetileg egy 2020-as phishing e-maillel indult, amely után a támadók közel 20 hónapon át észrevétlenül maradtak a hálózatban.
A vizsgálat szerint a támadók 2022-ben domain adminisztrátori jogosultságot szereztek, majd több mint 4,1 TB adatot szereztek meg. Az incidenshez a Cl0p zsarolóvírus-csoportot kötötték. A kiszivárgott adatok között nevek, címek, születési adatok, bankszámlaadatok, online szolgáltatási hozzáférések, valamint alkalmazotti szonosító számok is szerepeltek.
Az ICO szerint a kompromittációt súlyos biztonsági hiányosságok tették lehetővé. A környezet mindössze 5%-át monitorozták, kritikus rendszerek maradtak javítatlanul, továbbá elavult rendszerek, Windows Server 2003, is üzemben maradtak. A hatóság kiemelte, hogy a támadást nem biztonsági kontrollok, hanem teljesítményproblémák és egy később megjelenő ransom note miatt észlelték.
Az ügy különösen érzékeny, mert a víziközmű-szektor kritikus infrastruktúrának minősül. Az ICO hangsúlyozta, hogy az ilyen szolgáltatóknál a proaktív kiberbiztonsági védelem nem opcionális, hanem jogszabályi kötelezettség. A végleges bírság összege 963 900 font lett, amely 40%-os csökkentést tartalmazott a vállalat együttműködése és korai felelősségvállalása miatt.
