O Information Commissioner's Office (ICO), a autoridade reguladora de proteção de dados do Reino Unido, aplicou uma coima pesada de 963.900 libras (cerca de 1,1 milhões de euros) à South Staffordshire Water Plc e à sua empresa-mãe, a South Staffordshire Plc. De acordo com o comunicado oficial do ICO, a sanção surge na sequência de um ciberataque grave que resultou na extração e publicação na dark web de informações pessoais pertencentes a 663.887 clientes e colaboradores.
A empresa, responsável pelo fornecimento diário de 330 milhões de litros de água potável a 1,6 milhões de consumidores, já tinha revelado em 2022 ter sido alvo de uma intrusão que afetou as suas operações informáticas. Na altura, a organização desvalorizou as alegações do grupo de ransomware Cl0p — que inicialmente até se tinha enganado na identidade da vítima —, mas as amostras de dados divulgadas pareciam autênticas.
A investigação do regulador britânico veio agora confirmar que os dados expostos eram, de facto, genuínos e pertenciam à fornecedora de água. Para além disso, as autoridades descobriram um detalhe surpreendente: o comprometimento inicial dos sistemas começou na verdade em setembro de 2020.
Falhas de segurança e sistemas obsoletos
Segundo os dados apurados pelo ICO, a falha teve origem num ataque de phishing que permitiu aos piratas informáticos instalar malware na infraestrutura da empresa. Este código malicioso permaneceu totalmente indetetado durante 20 meses. O grande volume da atividade ilícita ocorreu mais tarde, entre maio e julho de 2022, período em que os atacantes conseguiram escalar privilégios na rede e garantir acesso de administrador de domínio.
A intrusão apenas foi detetada em julho de 2022, quando problemas no desempenho dos sistemas informáticos desencadearam uma auditoria interna.
O leque de informação comprometida revelou-se bastante sensível, englobando nomes completos, moradas, endereços de e-mail, números de telefone, datas de nascimento, credenciais de contas de clientes, dados bancários e registos de recursos humanos dos colaboradores, incluindo os números de segurança social britânicos (National Insurance numbers).
O relatório do regulador apontou o dedo a várias falhas críticas na abordagem da empresa à cibersegurança:
Falso sentimento de segurança devido à falta de controlos eficazes para travar a escalada de privilégios.
Monitorização manifestamente insuficiente, que cobria apenas cerca de 5% de todo o ambiente informático.
Utilização de software obsoleto e sem suporte, como o Windows Server 2003.
Gestão deficiente de vulnerabilidades e ausência da aplicação de patches de segurança cruciais.
Falta de realização de análises de segurança regulares, tanto a nível interno como externo.
Estas lacunas graves constituem uma violação direta das exigências de proteção de dados em vigor no Reino Unido, justificando a pesada coima aplicada. O valor inicial da sanção era substancialmente mais elevado, mas o ICO aplicou uma redução de 40% porque a South Staffordshire assumiu a responsabilidade desde cedo, colaborou ativamente com toda a investigação e aceitou liquidar o montante sem recorrer da decisão.
Nenhum comentário
Seja o primeiro!