İngiltere Veri Koruma Otoritesi (ICO), Güney Staffordshire Su Şirketi ve ana şirketi Güney Staffordshire PLC'ye, 633 binden fazla kişinin kişisel bilgilerinin çalındığı bir veri ihlali nedeniyle yaklaşık 1 milyon sterlin (1,4 milyon dolar) para cezası verdi. Şirketler, cezaya itiraz etmeme karşılığında orijinal 1,6 milyon sterlinlik cezanın %40 daha düşük bir tutarını ödemeyi kabul etti.
Saldırı, 11 Eylül 2020'de başarılı bir kimlik avı e-postasıyla başladı ve Get2 indirici ile SDBbot uzaktan erişim truva atının (RAT) yüklenmesine yol açtı. Ancak ağa sızma neredeyse iki yıl boyunca fark edilmedi. Tehdit aktörü, 17 Mayıs 2022'de yanal hareket etmeye başladı ve bir alan yöneticisi hesabı ile uzak masaüstü protokolü kullanarak 20 farklı uç noktaya erişti. İhlal, 15 Temmuz 2022'de 'plansız veritabanı dışa aktarımları' sonucu oluşan performans sorunları sayesinde keşfedildi.
ICO, Güney Staffordshire Su Şirketi'nin güvenlik duruşunda birden fazla zafiyet tespit etti: en az ayrıcalık politikasının uygulanmaması, BT ortamının sadece %5'inin izlenmesi, Windows Server 2003 gibi desteklenmeyen yazılımların kullanılması ve kritik sistemlerin yama yapılmaması. Şirket, ayrıca bir fidye notu bulana kadar ihlali fark etmemişti. ICO yetkilisi Ian Hulme, su şirketlerinin müşterilerine seçenek sunmadığını ve bu nedenle veri koruma sorumluluklarını ciddiye almaları gerektiğini vurguladı.
ICO, bu olaydan ders çıkarılması için kapsamlı bir rapor yayımladı. Raporda, kritik altyapı sektörlerindeki kuruluşlara siber dayanıklılıklarını gözden geçirmeleri ve 'Performans sorunlarını veya fidye notunu beklemek kabul edilebilir değil' uyarısında bulundu. ICO, proaktif güvenliğin yasal bir zorunluluk olduğunu ve her kuruluşun ağlarını korumak için temel kontrolleri uygulaması gerektiğini belirtti.