Birleşik Krallık'taki bir su şirketi, iki yıl süren ve 633.000'den fazla kişinin kişisel bilgilerinin ele geçirilmesiyle sonuçlanan bir olayın ardından veri koruma düzenleyicisi tarafından yaklaşık 1 milyon £ (1,4 milyon $) para cezasına çarptırıldı.
South Staffordshire Water ve ana şirket South Staffordshire PLC, cezaya itiraz etmeme karşılığında Bilgi Komiserliği Ofisi'ne (ICO) orijinal 1,6 milyon £ (2,2 milyon $) tutarından %40 daha düşük bir para cezası ödemeyi kabul etti.
Olay, 11 Eylül 2020'de başarılı bir kimlik avı e-postasıyla başladı ve bu e-posta, Get2 indiricisinin ve SDBbot uzaktan erişim Truva Atı'nın (RAT) yüklenmesiyle sonuçlandı.
Ancak ağ saldırısı neredeyse iki yıl boyunca fark edilmedi. 17 Mayıs 2022'de tehdit aktörü, bu tarih ile 4 Ağustos arasında 20 farklı uç noktaya erişmek için bir alan adı yöneticisi hesabı ve uzak masaüstü protokolünü kullanarak su şirketinin ağında yanal olarak hareket etmeye başladı.
İhlal, ancak "planlanmamış veri tabanı aktarımlarından" kaynaklanan BT performans sorunlarının 15 Temmuz 2022'de bir soruşturma başlatmasıyla fark edildi. Dokuz gün sonra şirket, düzenleyici kuruma bir kişisel veri ihlali bildirdi.
26 Temmuz'da su şirketi, tehdit aktörünün bazı personele başarısız bir şekilde göndermeye çalıştığı bir fidye notu keşfetti.
Su şirketlerinin ihlalleri hakkında daha fazlasını okuyun: NCSC, Birleşik Krallık Su Şirketlerini Kontrol Sistemlerini Güvenli Hale Getirmeye Çağırıyor.
Sonuç ve Değerlendirme
Tehdit aktörü, South Staffordshire Water'dan 633.887 mevcut ve eski müşteri ve çalışana ait 4,1 TB veri çaldığını iddia etti. ICO'ya göre bu, şirketin elinde bulunan tüm kişisel bilgilerin yaklaşık üçte birine (%34) tekabül ediyor.
Karanlık ağa atılan çalıntı kişisel bilgiler aşağıdakiler dahil olmak üzere son derece hassastı:
Tam ad, fiziksel adres ve e-posta adresi, doğum tarihi, cinsiyet ve telefon numarası gibi kişisel bilgiler
Ulusal Sigorta numaralarını da içeren çalışan İK bilgileri
Müşteri hesap bilgileri, banka hesap numarası ve sıralama kodu
Öncelikli Hizmetler Kaydı'ndaki müşterilerle ilgili, engellilik çıkarımı yapılabilecek bilgiler
Uzmanların Görüşleri
Çoklu Güvenlik Arızaları
Şirketin güvenlik duruşu birçok açıdan yetersiz bulundu:
Sistem Güvenliği
Saldırganın yönetici ayrıcalıklarına yükselmesini sağlayan sınırlı kontroller (en az ayrıcalık ilkesinin uygulanmasının olmaması dahil)
Yetersiz izleme ve günlük kaydı, BT ortamının yalnızca %5'inin izlenmesi
Windows Server 2003 de dahil olmak üzere bazı cihazlarda eski desteklenmeyen yazılımların kullanılması
Yama uygulanmamış kritik sistemler ve düzenli iç veya dış güvenlik taramalarının yapılmaması da dahil olmak üzere yetersiz güvenlik açığı yönetimi
Önemli Gelişmeler
ICO'nun düzenleyici denetimden sorumlu geçici yöneticisi Ian Hulme, su müşterilerinin hangi şirketi kullanacakları konusunda bir seçim şansına sahip olmadıklarını, bu da sağlayıcıların veri koruma sorumluluklarını ciddiye almaları gerektiği anlamına geldiğini savundu.
"South Staffordshire'ın atamadığı adımlar, bilgisayar ağlarını korumaya yönelik yerleşik, yaygın olarak anlaşılan ve etkili kontrollerdir. ICO, tüm kuruluşların ve özellikle de kritik ulusal altyapının bir parçası olarak büyük hacimli kişisel bilgileri işleyenlerin, bunlara sahip olmasını beklemektedir" diye ekledi.
Teknik Analiz
"Bir ihlali tespit etmek için performans sorunlarını veya fidye notunu beklemek kabul edilemez. Proaktif güvenlik, isteğe bağlı bir ekstra değil, yasal bir gerekliliktir."
Gelecekte Ne Bekleniyor?
ICO, bu ve diğer kritik altyapı sektörlerinde çalışan güvenlik profesyonelleri için faydalı olabilecek, vakayla ilgili uzun bir yazı yayınladı.
Nasıl Önlem Alınmalı?
Düzenleyici, kuruluşlara olayın ışığında kendi dayanıklılık duruşlarını gözden geçirmeleri ve kendilerine aşağıdakileri sormaları çağrısında bulundu: