Birleşik Krallık Bilgi Komiseri Ofisi (ICO), South Staffordshire Water ve ana şirket South Staffordshire Plc’yi 633.000’den fazla müşteri ve çalışanın kişisel verilerinin ortaya çıkan bir siber saldırı sonrası 963.900 £ (1,3 milyon dolar) para cezası verdi.
ICO’ya göre, saldırganlar ilk kez Eylül 2020’de kötü amaçlı bir ek içeren bir oltalama e-postası aracılığıyla şirketin sistemlerine erişti. Kötü amaçlı yazılım, saldırganlar ayrıcalıklarını artırıp Mayıs ile Temmuz 2022 arasında şirket sistemlerine daha derinlemesine ilerlemeden önce yaklaşık 20 ay boyunca ağ içinde tespit edilmeden kaldı.
İhlal, Temmuz 2022’de BT performans sorunları nedeniyle iç soruşturma başlatıldıktan sonra tespit edildi. Birkaç gün sonra, şirket saldırganların çalışanlara dağıtmaya çalıştığı bir fidye notu buldu.
Araştırmacılar daha sonra karanlık ağda 4,1 terabayttan fazla verinin yayınlandığını doğruladı. Ortaya çıkan bilgiler arasında müşteri isimleri, fiziksel adresler, e-posta adresleri, telefon numaraları, doğum tarihleri, kullanıcı adları, çevrimiçi hizmetler için şifreler, banka hesap numaraları ve sıralama kodları bulunuyordu. Çalışan verileri arasında ayrıca İK kayıtları ve Ulusal Sigorta numaraları da vardı.
ICO, olayın şirketin altyapısında birden fazla güvenlik hatasını ortaya çıkardığını belirtti. Bunlar arasında yetersiz izleme sistemleri, zayıf ayrıcalık kontrolleri, eski yazılımlar ve zayıf güvenlik açığı yönetimi uygulamaları yer alıyordu. Saldırı sırasında şirketin BT ortamının sadece yaklaşık %5’i aktif olarak izleniyordu. Bazı sistemler hâlâ Windows Server 2003 üzerinde çalışıyordu; bu sunucu yıllar önce genişletilmiş desteğini kaybetti.
Düzenleyiciler ayrıca, saldırganların daha sonra alan yöneticisi ayrıcalıkları elde etmek için kullandığı ZeroLogon kusuru da dahil olmak üzere kritik açığların henüz düzeltilmediğini tespit etti. ICO, saldırganlar ağda kaldığı süre boyunca şirketin düzenli iç veya dış güvenlik açığı taramaları yapmadığını belirtti.
Siber saldırı Cl0p fidye yazılımı grubuyla bağlantılıydı, ancak çete başlangıçta kurbanı kamuoyuna yanlış şekilde Thames Water olarak tanımladı. South Staffordshire daha sonra operasyonel su tedarik sistemlerinin etkilenmediğini ve içme suyu hizmetlerinin olay sırasında normal şekilde devam ettiğini doğruladı.
ICO başlangıçta daha büyük bir mali ceza planlamıştı, ancak South Staffordshire erken sorumluluk kabul etti, araştırmacılarla iş birliği yaptı ve karara itiraz etmemeyi kabul etti.
ICO Geçici İcra Direktörü Ian Hulme, şirketin gecikmeli tespit yeteneklerini eleştirerek, ihlalleri tespit etmek için performans sorunları veya fidye notlarını beklemenin kabul edilemez olduğunu belirtti.