Az Egyesült Királyság adatvédelmi hatósága, az Information Commissioner’s Office (ICO) 963 900 fontos bírságot szabott ki a South Staffordshire Water vízszolgáltatóra egy súlyos kibertámadás miatt, amelynek során a támadók közel két éven át észrevétlenül maradtak a vállalat hálózatában. Az incidens során 633 887 ügyfél és alkalmazott személyes adatai szivárogtak ki.

A vizsgálatok szerint a szervezet rendszere 2020 szeptemberében kompromittálódott, amikor egy alkalmazott megnyitott egy rosszindulatú e-mail mellékletet. Ez egy olyan szoftvert telepített, amellyel a támadók hozzáférést szereztek a vállalat hálózatához, majd egészen 2022 májusáig rejtve maradtak. Egy admin fiókot használva oldalirányú mozgást végeztek a rendszerek között.

A vállalat csak 2022 júliusában észlelte az incidenst, miután informatikai teljesítményproblémák jelentkeztek. Később egy sikertelenül terjesztett zsarolóüzenetet is találtak. A támadás mögött a Cl0p zsarolóvírus-csoport állt.

Az incidens után mintegy 4,1 TB adat jelent meg a dark weben, melyek között szerepeltek nevek, címek, születési dátumok, bankszámlaadatok és társadalombiztosítási azonosítók. Egyes ügyfelek esetében olyan információk is kiszivárogtak, amelyekből egészségügyi állapotra lehetett következtetni.

Az ICO vizsgálata több súlyos biztonsági hiányosságot tárt fel. A vállalat nem alkalmazta megfelelően a „legkisebb jogosultság elvét” (principle of least privilege), vagyis nem biztosította azt, hogy a felhasználók kizárólag a munkakörükhöz szükséges hozzáférésekkel rendelkezzenek, így a támadók széles körű hozzáférést szerezhettek a hálózaton belül. A kiszervezett Security Operations Center (SOC) 2021 végén a vállalat informatikai környezetének mindössze 5%-át monitorozta, miközben a naplózási, valamint végponti telemetriai (endpoint telemetry) adatok sem voltak integrálva a felügyeleti rendszerbe.

A vizsgálat szerint több eszközön is a 2015 óta nem támogatott Windows Server 2003 futott, emellett két tartományvezérlőn nem javították a ZeroLogon néven ismert, kritikus sérülékenységet sem. A támadók ezt sikeresen kihasználták jogosultságkiterjesztésre. A szervezet azt is elismerte, hogy 2020 és 2022 között nem végzett dokumentált sérülékenységvizsgálatokat.

Az ICO szerint elfogadhatatlan, hogy egy vállalat csak teljesítményproblémák vagy váltságdíj-követelés után fedezzen fel egy behatolást. A hatóság hangsúlyozta, hogy a proaktív kiberbiztonság jogi kötelezettség, nem pedig opcionális intézkedés.

Mivel egyre több kibertámadás éri a vízszolgáltatókat, az Egyesült Királyság kormánya a Cyber Security and Resilience Bill bevezetését tervezi a kritikus infrastruktúrák védelmének megerősítése érdekében.