ICO наложи близо 1 милион паунда санкция заради сериозни пропуски в киберсигурността
Британският регулатор по защита на данните Information Commissioner’s Office (ICO) наложи глоба от 964 900 паунда на South Staffordshire Water PLC и нейната компания майка South Staffordshire Plc след ransomware атака на групата Cl0p, довела до компрометиране на личните данни на над 633 000 души.
Случаят се превръща в едно от най-сериозните разследвания срещу оператор на критична инфраструктура във Обединеното кралство и е ясен сигнал, че регулаторите вече разглеждат киберустойчивостта като част от законовите задължения на компаниите.
Според ICO организацията не е приложила базови и широко известни мерки за защита, което е позволило на нападателите да останат скрити в мрежата почти две години.
Атаката започва с phishing имейл още през 2020 г.
Разследването показва, че първоначалният достъп до инфраструктурата е осъществен още на 11 септември 2020 г. чрез phishing кампания.
След отваряне на злонамерен прикачен файл в системата са инсталирани malware инструментът Get2 и Remote Access Trojan-ът SDBBOT. Те са позволили на атакуващите да установят постоянен достъп до вътрешната мрежа.
Според регулатора нападателите остават неактивни дълго време, преди през май 2022 г. да започнат активно придвижване в инфраструктурата и компрометиране на допълнителни системи.
Между май и август 2022 г. атакуващите получават достъп до поне 20 различни endpoint устройства в средата на компанията.
Над 4 TB данни публикувани в dark web
На 26 юли 2022 г. компанията открива ransom note, който нападателите са опитали да разпространят до част от служителите.
В бележката се твърди, че са откраднати 5.5 TB данни. По-късно South Staffordshire потвърждава, че приблизително 4.121 TB информация действително е публикувана в dark web между август и ноември 2022 г.
Сред засегнатите са:
- настоящи и бивши клиенти;
- служители;
- потребители от Priority Services Register;
- бивши служители на компанията.
В крайна сметка над 390 000 души са уведомени за изтичането на данни.
ICO открива сериозни слабости в защитата
Разследването на регулатора разкрива поредица от сериозни пропуски в киберсигурността на организацията.
Според ICO компанията е разполагала с ограничен мониторинг върху IT средата, като активно са били наблюдавани едва около 5% от системите. Това е позволило на нападателите да извършват lateral movement и да останат незабелязани за продължителен период.
Допълнително са установени:
- слаби механизми за контрол на достъпа;
- недостатъчно логване и telemetry visibility;
- неефективно управление на уязвимостите;
- липса на регулярни вътрешни и външни security scans;
- използване на остарели и неподдържани системи.
Особено тревожен е фактът, че част от инфраструктурата все още е използвала Windows Server 2003 – платформа, която е извън поддръжка от години към момента на атаката.
Според ICO това е създало лесно експлоатируема среда за атакуващите.
Регулаторът: „Проактивната сигурност не е по избор“
От ICO подчертават, че организациите, управляващи критична инфраструктура, имат повишена отговорност към защитата на данните и услугите си.
Регулаторът е категоричен, че компании, обработващи огромни обеми чувствителна информация, не могат да чакат ransomware бележка, за да разберат, че са компрометирани.
Според разследването липсата на достатъчно мониторинг, остарелите системи и слабият контрол върху достъпа са позволили на атакуващите да поддържат присъствие в мрежата близо две години.
Глобата е намалена след съдействие от компанията
ICO съобщава, че санкцията е намалена с 40% след доброволно споразумение между регулатора и компанията.
South Staffordshire е:
- признала отговорност;
- съдействала на разследването;
- приложила подобрения в сигурността;
- работила с National Cyber Security Centre;
- приела санкцията без обжалване.
След инцидента компанията е предоставила и 12-месечен credit monitoring на засегнатите клиенти и служители, както и специална телефонна линия за помощ.
Критичната инфраструктура остава сред основните цели на ransomware групите
Случаят показва колко уязвими остават операторите на критична инфраструктура, особено когато използват остарели системи, ограничен мониторинг и слабо сегментирани среди.
През последните години ransomware групите все по-често атакуват:
- водоснабдителни оператори;
- енергийни компании;
- транспортни организации;
- индустриални среди;
- здравни структури.
Според експерти сливането между IT и OT инфраструктури допълнително увеличава риска, особено когато remote access механизмите не са защитени с модерна автентикация и строг контрол на достъпа.
Cl0p остава сред най-опасните ransomware операции
Cl0p продължава да бъде една от най-активните и агресивни ransomware групи в света.
Операцията е известна с:
- масови exploitation кампании;
- атаки срещу supply-chain инфраструктури;
- двойно изнудване;
- публикуване на данни в dark web;
- компрометиране на критични организации.
Случаят със South Staffordshire показва, че дори организации от национално значение могат да останат уязвими, когато базовите практики за киберсигурност не се поддържат адекватно.
