ICO يفرض غرامات على ضحية Cl0p South Staffs Water بسبب خرق البيانات
تم تغريم مشغل المرافق South Staffordshire Plc وشركتها الفرعية South Staffordshire Water Plc بمعدل مخفض قدره 964.900 جنيه إسترليني من قبل مكتب مفوض المعلومات (ICO)، بعد التحسينات التي تم إجراؤها بعد هجوم برنامج الفدية Cl0p الذي أدى إلى تسرب البيانات الشخصية لأكثر من 600000 شخص إلى الويب المظلم.
تم الكشف عن الهجوم السيبراني نفسه في أغسطس 2022، وكان في البداية مصدرًا لبعض الارتباك عندما أخطأت عصابة Cl0p في التعرف على ضحيتها وادعت أنها كانت تهاجم وتبتز شركة Thames Water. حتى أن مجرمو الإنترنت نشروا خطابًا مطولًا ضد شركة Thames Water واتهموها بتجاهلهم وعدم الاهتمام بعملائها. وقد تكررت ادعاءات المحتالين السيبرانيين الخاطئة على نطاق واسع عبر وسائل الإعلام في المملكة المتحدة في ذلك الوقت.
تضمنت البيانات المكشوفة تفاصيل شخصية لعملاء South Staffordshire، مثل الأسماء الكاملة وتواريخ الميلاد ومعلومات الجنس، ومعلومات الحساب بما في ذلك بيانات اعتماد الخدمات عبر الإنترنت، والبيانات المالية بما في ذلك أرقام الحسابات المصرفية ورموز الفرز، وتفاصيل الاتصال بما في ذلك البريد الإلكتروني والعناوين البريدية وأرقام الهواتف.
كانت لدى نسبة صغيرة من العملاء المدرجين في سجل الخدمة ذات الأولوية معلومات مكشوفة ربما تم استنتاج معلومات طبية منها، كما تأثر عدد صغير من الموظفين أيضًا بتسريب بيانات الموارد البشرية بما في ذلك أرقام التأمين الوطني.
وقال مكتب ICO إن الحادث كشف عن “إخفاقات كبيرة” في أساليبه تجاه أمن البيانات، وترك عملائه وموظفيه عرضة للخطر لسنوات.
قال إيان هولم، المدير التنفيذي المؤقت لـ ICO للإشراف التنظيمي: “لا يملك العملاء خيار اختيار شركة المياه التي تخدمهم – فهم مطالبون بمشاركة معلوماتهم الشخصية ووضع ثقتهم في ذلك المزود”.
“لذلك من الضروري أن تحترم شركات المياه هذه الثقة من خلال أخذ مسؤولياتها المتعلقة بحماية البيانات على محمل الجد.”
الاستلقاء منخفضا
على الرغم من أن الهجوم السيبراني نفسه وقع في عام 2022، إلا أن الحادث يعود في الواقع إلى عام 2020، عندما وقع أحد الأفراد في ساوث ستافوردشاير بسبب رسالة بريد إلكتروني تصيدية مكّنت الجهات الفاعلة في التهديد من تثبيت برامج ضارة على أنظمتها دون أن يتم اكتشافها.
على الرغم من أنه من غير الواضح ما إذا كانت Cl0p قد اخترقت أولاً أنظمة South Staffordshire نفسها أو حصلت على المفاتيح من خلال وسيط وصول أولي (IAB)، بحلول مايو من عام 2022 – بعد 20 شهرًا – بدأت العصابة في التحرك أفقيًا عبر شبكة South Staffordshire وتمكنت من اختراق امتيازات مسؤول المجال. ومع ذلك، لم يتم اكتشاف وجود Cl0p حتى منتصف شهر يوليو، عندما أدت مشكلات أداء تكنولوجيا المعلومات إلى إجراء تحقيق داخلي.
في 26 يوليو 2022، أبلغت فرق تكنولوجيا المعلومات في جنوب ستافوردشاير ICO عن حدوث اختراق للبيانات الشخصية – ثم، بعد يومين، اكتشفت مذكرة فدية حاولت Cl0p توزيعها على الموظفين – دون نجاح على ما يبدو.
ومع ذلك، لم يصبح مدى تسرب البيانات واضحًا لمدة أربعة أشهر أخرى، عندما اكتشف ساوث ستافوردشاير أنه تم نشر أكثر من 4.1 تيرابايت من البيانات.
وفي سياق التحقيق الذي أجرته، قالت ICO إنها وجدت أن منطقة ساوث ستافوردشاير لم تطبق الضوابط الأمنية المناسبة المطلوبة منها في قانون المملكة المتحدة. وتضمنت حالات الفشل ضوابط محدودة مكنت Cl0p من رفع امتيازاته، وعدم كفاية المراقبة والتسجيل الذي فشل في الكشف عن نشاطه، واستخدام البرامج القديمة – بما في ذلك Windows Server 2003، وعدم كفاية إدارة الثغرات الأمنية، مع ترك الأنظمة دون إصلاح، وعدم إجراء فحص أمني داخلي وخارجي.
وقال هولم: “إن الخطوات التي فشلت شركة ساوث ستافوردشاير في اتخاذها هي ضوابط راسخة ومفهومة على نطاق واسع وفعالة لحماية شبكات الكمبيوتر”. “يتوقع ICO من جميع المنظمات – وخاصة تلك التي تتعامل مع كميات كبيرة من المعلومات الشخصية كجزء من البنية التحتية الوطنية الحيوية – أن تقوم بذلك.
وأضاف: “انتظار مشكلات الأداء أو مذكرة الفدية لاكتشاف الانتهاك أمر غير مقبول”. “الأمن الاستباقي هو مطلب قانوني، وليس خيارا إضافيا.”
التحسينات السيبرانية
قال ICO إن إجمالي الغرامة التي تقل قليلاً عن مليون جنيه إسترليني – وهو تخفيض بنسبة 40٪ عن المبلغ الأولي المقترح – كانت تسوية طوعية تعكس تمثيلات جنوب ستافوردشاير وتمثل التحسينات المختلفة التي تم إجراؤها في أعقاب الحادث، بالإضافة إلى الدعم الاستباقي الذي قدمته المنظمة للمتضررين، ومشاركتها مع المنظمين وتسوية الأمن السيبراني الوطني.
وأضافت أن ساوث ستافوردشاير اعترفت مبكرًا بالمسؤولية، وبقبولها النتائج التي توصلت إليها، وافقت على دفع الغرامة دون استئناف آخر.
وأشار هولم: “إننا نرحب بقبول جنوب ستافوردشاير المبكر وتعاونها في هذه الحالة، مما يسمح لنا بالتوصل إلى تسوية طوعية وتوفير الموارد”.
تم الاتصال بجنوب ستافوردشاير للتعليق ولكنه لم يرد على استفساراتنا وقت النشر.
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
