Kantor Komisaris Informasi telah mendenda South Staffordshire Water Plc dan perusahaan induk South Staffordshire Plc £963.900 ($1,3 juta) atas serangan siber yang mengungkap data pribadi 663.887 pelanggan dan karyawan.
Perusahaan ini memasok 330 juta liter air minum kepada 1,6 juta konsumen setiap hari dan, pada tahun 2022, mengungkapkan bahwa perusahaan tersebut menjadi target serangan siber yang mengganggu operasional TI perusahaan.
Pada saat itu, perusahaan menolak klaim dari geng ransomware Cl0p, yang mana mengklaim serangan itu (setelah awalnya salah mengidentifikasi korbannya), namun sampel data yang bocor tampak asli.
Investigasi ICO kini telah mengonfirmasi bahwa data yang bocor tersebut memang asli, milik South Staffordshire Water Plc, dan juga mencatat bahwa kompromi sebenarnya telah dimulai pada September 2020.
“Kami telah mendenda South Staffordshire Plc dan South Staffordshire Water Plc (bersama South Staffordshire) £963,900 menyusul serangan dunia maya serius yang mengakibatkan informasi pribadi 633,887 orang diekstraksi dan dipublikasikan di web gelap,” membaca pengumuman ICO.
“Serangan tersebut, yang dapat ditelusuri kembali ke bulan September 2020 namun sebagian besar terjadi antara bulan Mei dan Juli 2022, mengungkap kegagalan signifikan dalam pendekatan perusahaan terhadap keamanan data dan membuat pelanggan dan karyawan rentan selama hampir dua tahun.”
Menurut ICO, pelanggaran tersebut terjadi melalui serangan phishing yang memungkinkan penyerang memasang malware pada sistem perusahaan. Malware tersebut tetap tidak terdeteksi selama 20 bulan.
Antara Mei dan Juli 2022, penyerang meningkatkan hak istimewa di jaringan South Staffordshire Plc dan memperoleh akses administrator domain.
Pelanggaran tersebut baru ditemukan pada Juli 2022 setelah masalah kinerja TI memicu penyelidikan.
Data yang bocor antara lain nama lengkap, alamat fisik, alamat email, nomor telepon, tanggal lahir, kredensial rekening pelanggan, rincian rekening bank, dan data SDM karyawan seperti nomor Asuransi Nasional.
ICO telah menemukan beberapa kegagalan keamanan yang menyebabkan insiden paparan data ini, termasuk:
- Kontrol yang tidak memadai untuk mencegah peningkatan hak istimewa
- Pemantauan hanya mencakup sekitar 5% dari lingkungan TI
- Penggunaan perangkat lunak usang, seperti Windows Server 2003
- Manajemen kerentanan yang buruk dan patch keamanan yang hilang
- Kurangnya pemindaian keamanan internal dan eksternal secara teratur
Kegagalan ini merupakan pelanggaran terhadap persyaratan perlindungan data Inggris, kata regulator, itulah sebabnya denda dikenakan.
Jumlah awalnya lebih besar, namun karena South Staffordshire mengakui tanggung jawab lebih awal, bekerja sama dengan penyelidikan, dan setuju untuk menyelesaikan tanpa banding, ICO mengurangi denda sebesar 40%.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
