Brits drinkwaterbedrijf krijgt 1,1 miljoen euro boete wegens groot datalek

In dit artikel:

Het Britse drinkwaterbedrijf South Staffordshire Water is door de informatieautoriteit ICO beboet voor €1,1 miljoen na een groot datalek dat het gevolg was van een ransomware-aanval die begon met een phishingmail. De inbraak startte in september 2020 toen een medewerker een geïnfecteerde bijlage opende waarmee SDBbot werd geïnstalleerd. De aanvallers verbleven ongeveer twintig maanden onopgemerkt in het netwerk en begonnen op 17 mei 2022 laterale bewegingen, waarna zij toegang kregen tot twintig endpoints.

Rond de aanval eiste de Cl0p-ransomwaregroep de aanslag op en publiceerde ruim vier terabyte aan gestolen data. Ongeveer 634.000 personen bleken getroffen; gelekte gegevens omvatten namen, adressen, e-mails, geboortedata, geslacht, bankrekeningnummers en telefoonnummers. De ICO stelde dat de beveiliging van het bedrijf ernstig tekortschoot: gebruik van het niet-ondersteunde Windows Server 2003, ontbrekende patches voor de ZeroLogon-kwetsbaarheid (CVE-2020-1472), slechts 5% van de it-omgeving gemonitord, beperkte toegangscontroles en geen periodieke securityscans. Het lek werd uiteindelijk ontdekt door prestatieproblemen en een achtergelaten losgeldboodschap.

De ICO wilde aanvankelijk €1,85 miljoen opleggen, maar verlaagde de boete met 40% nadat South Staffordshire Water de bevindingen accepteerde en geen bezwaar aankondigde.