L’Ufficio del Commissario per l’Informazione del Regno Unito (ICO) ha multato South Staffordshire Water e la società madre South Staffordshire Plc di £963.900 (1,3 milioni di dollari) a seguito di un attacco informatico che ha rivelato i dati personali di oltre 633.000 clienti e dipendenti.
Secondo l’ICO, gli aggressori hanno ottenuto per la prima volta accesso ai sistemi dell’azienda nel settembre 2020 tramite un’email di phishing contenente un allegato malevolo. Il malware è rimasto inosservato all’interno della rete per circa 20 mesi prima che gli attaccanti aumentassero i privilegi e si spostassero più a fondo nei sistemi aziendali tra maggio e luglio 2022.
La violazione è stata scoperta solo dopo che problemi di prestazioni IT hanno scatenato un’indagine interna nel luglio 2022. Pochi giorni dopo, l’azienda trovò una lettera di riscatto che gli aggressori avevano tentato di distribuire ai dipendenti.
Gli investigatori hanno poi confermato che oltre 4,1 terabyte di dati erano stati pubblicati sul dark web. Le informazioni esposte includevano nomi di clienti, indirizzi fisici, indirizzi email, numeri di telefono, date di nascita, nomi utente, password per servizi online, numeri di conto bancario e codici di ordinamento. I dati dei dipendenti includevano anche i registri delle risorse umane e i numeri di assicurazione nazionale.
L’ICO ha dichiarato che l’incidente ha rivelato molteplici fallimenti di sicurezza all’interno dell’infrastruttura aziendale. Questi includevano sistemi di monitoraggio inadeguati, controlli dei privilegi deboli, software obsoleto e scarse pratiche di gestione delle vulnerabilità. Al momento dell’attacco, solo circa il 5% dell’ambiente IT dell’azienda era attivamente monitorato. Alcuni sistemi eseguivano ancora Windows Server 2003, che aveva perso il supporto esteso anni prima.
I regolatori hanno inoltre riscontrato che vulnerabilità critiche restavano non correggite, incluso il difetto ZeroLogon che gli attaccanti hanno successivamente sfruttato per ottenere privilegi da amministratore di dominio. L’ICO ha dichiarato che l’azienda non ha effettuato scansioni regolari delle vulnerabilità interne o esterne durante il periodo in cui gli attaccanti sono rimasti all’interno della rete.
L’attacco informatico era collegato al gruppo ransomware Cl0p, anche se inizialmente la banda identificò pubblicamente erroneamente la vittima come Thames Water. South Staffordshire ha poi confermato che i sistemi di approvvigionamento idrico operativi non sono stati compromessi, e che i servizi di acqua potabile sono continuati normalmente durante l’incidente.
L’ICO aveva inizialmente pianificato una sanzione finanziaria più elevata, ma ha ridotto l’importo del 40% dopo che South Staffordshire ha ammesso la responsabilità in anticipo, ha collaborato con gli investigatori e ha accettato di non fare appello contro la decisione.
Il Direttore Esecutivo ad interim dell’ICO, Ian Hulme, ha criticato le capacità di rilevamento ritardato dell’azienda, affermando che aspettare problemi di prestazioni o note di riscatto per identificare violazioni era inaccettabile.