Британский водоканал оштрафован на миллион за утечку данных

Регулятор ICO наложил крупный штраф за утечку данных на поставщика воды South Staffordshire. Утечка данных произошла в результате фишинговой атаки и выявила серьезные изъяны в организации системы безопасности компании.

Управление британского комиссара по информации (Information Commissioner's Office, ICO) 11 мая сообщило о решении оштрафовать компании South Staffordshire Plc и South Staffordshire Water Plc из сферы жилищно-коммунального хозяйства запада Англии. Эти компании, отвечающие за водоснабжение, оштрафованы на 963 тыс. фунтов стерлингов (около 1,3 млн долларов США) за допущенную несколько лет назад кибератаку, в результате которой персональные данные 633 887 человек были украдены и опубликованы в Дарквебе.

Кибератака на South Staffordshire началась в сентябре 2020 г., но ее основная стадия произошла в период с мая по июль 2022 г. Отправной точкой послужила рассылка фишингового письма. Один из сотрудников открыл вложение, что позволило хакерам запустить вредоносное ПО, которое оставалось незамеченным в системах организации на протяжении 20 месяцев. Известно, что в мае 2022 г. хакерам удалось получить доступ к правам администратора домена — наивысшему уровню доступа к ИТ-сети. Инцидент был выявлен только в июле 2022 г. Организация уведомила о нем ICO 24 июля 2022 г., а спустя пару дней обнаружила записку с требованием о выкупе, которую хакер пытался распространить среди ряда сотрудников.

В период с августа по ноябрь 2022 г. компания South Staffordshire обнаружила, что на хакерских форумах было опубликовано более 4,1 ТБ данных, украденных у нее.

Известно, что на момент начала атаки компания South Staffordshire хранила персональные данные примерно 1,85 млн клиентов — около 750 000 действующих и 1,1 млн бывших. Также оператор водоснабжения хранил данные 2791 действующего сотрудника и не менее 2298 бывших сотрудников.

Таким образом, хакеры слили в Дарквеб данные каждого третьего человека из общего количества клиентов и сотрудников South Staffordshire. Скомпрометированы такие персональные данные, как полные имена, физические адреса, адреса электронной почты, даты рождения, пол и номера телефонов. Кроме того, у сотрудников утекли данные из отдела кадров, включая номера национальной системы страхования. Что касается клиентов, у них также были украдены данные об учетных записях (включая имена пользователей и пароли для онлайн-сервисов South Staffordshire Water), номера банковских счетов и банковские идентификационные коды. У небольшой части клиентов, зарегистрированных в Реестре приоритетных услуг, были скомпрометированы сведения, на основе которых можно было сделать вывод о наличии инвалидности.

Расследование ICO показало, что структуры South Staffordshire не реализовали надлежащие безопасности, требования о которых прописаны в британском законодательстве о защите данных.

В частности, информационный регулятор отметил, что злоумышленник, получив первоначальный уровень доступа, смог закрепиться в сети компании из-за ограниченности средств контроля. Вредоносная активность не была своевременно выявлена из-за слабости систем мониторинга — они покрывали только 5% ИТ-среды. Как выяснило ICO, оператор водоснабжения использовал устаревшие системы, многие из которых не поддерживали актуальные обновления ПО (например, речь идет про Windows Server 2003). Кроме того, выявлен недостаточный уровень управления уязвимостями, включая отсутствие обновлений критически важных систем и отсутствие регулярного внутреннего или внешнего аудита безопасности.

«У клиентов нет выбора обслуживающей компании по водоснабжению — они обязаны делиться своей личной информацией и доверять имеющемуся поставщику. Поэтому крайне важно, чтобы водопроводные компании оправдывали это доверие, серьезно относясь к своим обязанностям по защите данных», — подчеркнул Иэн Халм (Ian Hulme), временно исполняющий обязанности исполнительного директора ICO по надзору за регулированием.

В декабре 2025 года ICO уведомило компанию South Staffordshire о своем намерении оштрафовать ее. Затем компания представила свои возражения, которые были внимательно рассмотрены регулятором. В них были указаны меры безопасности, принятые после кибератаки. Также оператор водоснабжения сообщал о поддержке, оказанной пострадавшим, и взаимодействии с другими регулирующими органами и Национальным центром кибербезопасности (NCSC).

В итоге Управление по вопросам информации и South Staffordshire пришли к соглашению о добровольном урегулировании. В ходе расследования компания South Staffordshire признала свою вину и, приняв выводы ICO, согласилась выплатить штраф без обжалования. В знак признания компанией своей вины регулятор применил 40-процентное снижение первоначального размера штрафа (1,6 млн фунтов стерлингов).

Источник: ICO