Над 633 000 души засегнати: фишинг атака, остарял софтуер и липса на мониторинг довеждат до публикуване на над 4 TB лични данни в тъмната мрежа
Службата на британския комисар по информацията (ICO) е глобила с £963 900 South Staffordshire Plc и South Staffordshire Water Plc заради „serious“ кибератака, започнала с фишинг имейл и останала незабелязана почти 20 месеца. В резултат са компрометирани личните данни на 633 887 души, включително клиенти и служители, като голям обем информация е публикуван в тъмната мрежа. Разследването установява сериозни пропуски в сигурността: остарял софтуер, липса на мониторинг, непачнати системи и недостатъчни контролни механизми. Компанията признава нарушенията и приема доброволно плащане, което води до 40% намаление на санкцията. ICO естествено използва случая, за да отправи препоръки към сектора относно киберустойчивостта.
„Глобихме South Staffordshire Plc и South Staffordshire Water Plc (заедно South Staffordshire) с 963 900 британски лири след сериозна кибератака, в резултат на която личната информация на 633 887 души беше извлечена и публикувана в тъмната мрежа, написа ICO на 11 май.
Атаката, която може да се проследи до септември 2020 г., но до голяма степен се е случила между май и юли 2022 г., разкри значителни пропуски в подхода на компанията към сигурността на данните и остави клиентите и служителите уязвими в продължение на близо две години.
Какво се случи?
South Staffordshire (SS) претърпява кибератака, която е започнала с успешен фишинг имейл – измамно съобщение, целящо да заблуди хора. В този случай получателят е отворил прикачен файл, който е позволил на нападателя да инсталира злонамерен софтуер, който е останал неоткрит в системите на организацията в продължение на 20 месеца. След това, през май 2022 г., хакерът е проникнал в мрежата и е компрометира domain administrator privileges – най-високото ниво на системен достъп до IT мрежата.
Пробивът е установен едва когато проблем с IT производителността води до започване на вътрешно разследване на 15 юли 2022 г. Компанията съобщава на ICO за пробив в сигурността на лични данни на 24 юли 2022 г. След това, на 26 юли 2022 г., SS открива бележка за откуп, която хакерът неуспешно се е опитал да разпространи до определени членове на персонала. Между август и ноември 2022 г. SS установява, че над 4,1 терабайта данни са били публикувани в тъмната мрежа.
Кой беше засегнат?
По време на атаката, SS съхранява лична информация, свързана с приблизително 1,85 милиона клиенти – около 750 000 настоящи и 1,1 милиона бивши – както и с 2791 настоящи служители и най-малко 2298 бивши служители.
Пробивът води до публикуването на лична информация на 633 887 души в тъмната мрежа през август 2022 г. Това включва: лични данни като пълно име, физически адрес, имейл адрес, дата на раждане, пол и телефонен номер.
За служителите, информация за човешки ресурси, включително номера на национално осигуряване.
За клиентите, информация за акаунта (включително потребителско име и парола за онлайн услугите на SSW) и номер на банкова сметка и sort код.
За малък процент от клиентите в Priority Services Register, информацията, от която може да се направи извод за уврежданията.
Failures
ICO пише, че разследването му установява, че компанията SS не е внедрила подходящи мерки за сигурност, изисквани съгласно законодателството на Обединеното кралство за защита на данните. Тези пропуски включват:
- Limited controls enabled the attacker to escalate to administrator privileges after gaining an initial foothold on the network.
- Inadequate monitoring and logging — only 5% of the IT environment was being monitored, meaning malicious activity was not detected.
- Use of obsolete, unsupported software on some devices, including Windows Server 2003.
- Inadequate vulnerability management, including unpatched critical systems and the absence of regular internal or external security scans.
Иън Хълм, временно изпълняващ длъжността изпълнителен директор на ICO за регулаторен надзор, заявява: „Клиентите нямат избор коя водоснабдителна компания да ги обслужва — те са длъжни да споделят личната си информация и да се доверят на този доставчик. Ето защо е от съществено значение водоснабдителните компании да зачитат това доверие, като приемат сериозно отговорностите си за защита на данните.
Според Хълм стъпките, които South Staffordshire не е успяла да предприеме, са „established, widely understood and effective controls“ за защита на компютърните мрежи. ICO очаква всички организации – и особено тези, които обработват големи обеми лична информация като част от критичната национална инфраструктура – да имат такива.
„Чакането на performance issues или известие за откуп, за да се открие нарушение, не е приемливо. Проактивната сигурност е законово изискване, а не допълнителна опция.“
През декември 2025 г. ICO информира South Staffordshire, че възнамерява да я глоби. След това компанията представи възражения, които са внимателно разгледани от ICO. Надзорният орган уточнява, че това включвало подобренията, направени след атаката, подкрепата, предложена на засегнатите хора, и взаимодействието с други регулаторни органи и Националния център за киберсигурност.
„Ние и South Staffordshire вече постигнахме доброволно споразумение. По време на разследването SS направи early admission of liability и, приемайки нашите констатации, се съгласи да плати наказанието без обжалване. Приложихме намаление от 40%, с което окончателното наказание достигна 963 900 британски лири, като признание за ефективността, която ранното признаване на SS донесе на разследването.“
Г-н Хълм добавя: „Приветстваме early admission и сътрудничество на South Staffordshire по този случай, което ни позволява да постигнем доброволно споразумение и да спестим ресурси.“
Поуки за сектора
Призоваваме организациите да преразгледат своята киберустойчивост в светлината на този случай и да си зададат следните въпроси:
– Въведени ли са контролни механизми, така че потребителите и системите да имат достъп само до това, от което наистина се нуждаят?
– Въведени ли са контроли за регистриране и наблюдение, осигуряващи достатъчно покритие на ИТ средата, и предприемат ли се действия по сигналите?
– Всички системи имат ли инсталирани корекции и поддръжка? Остарелият или изтеклият софтуер представлява значителен и предотвратим риск.
– Управлението на уязвимостите част ли е от редовната оперативна практика, включително както вътрешно, така и външно сканиране?
ICO напомня и за публикуваните подробни насоки за защита на системи от атаки с ransomware, както и насоки за отговорностите на обработващите и администраторите на данни и поуки, извлечени от често срещани грешки в сигурността.
За допълнителна подкрепа относно киберсигурността, посетете уебсайта на Националния център за киберсигурност и програмата Cyber Essentials, подкрепяна от правителството схема за сертифициране, която помага за защитата на данните на вашата организация от кибератаки. NCSC също така разполага с рамка за оценка на киберсигурността и току-що стартира Cyber Action Toolkit, предназначен за малки организации, за да им помогне да подобрят своята киберустойчивост.“
P.S. Това е положението – в институционалните комуникации британците са най-добри.