Công ty cấp nước bị phạt gần 1 triệu bảng vì lỗ hổng bảo mật nghiêm trọng

Công ty cấp nước bị phạt gần 1 triệu bảng vì lỗ hổng bảo mật nghiêm trọng

Cơ quan giám sát bảo vệ dữ liệu của Anh (ICO) đã phạt công ty mẹ của South Staffordshire Water gần 1 triệu bảng Anh (khoảng 1,3 triệu USD) vì những sai sót nghiêm trọng trong an ninh mạng bị bộc lộ bởi cuộc tấn công ransomware Cl0p vào năm 2022.

ICO cho biết vụ tấn công này đã phơi bày "những thất bại đáng kể trong cách tiếp cận bảo mật dữ liệu của công ty". Mặc dù cuộc tấn công do nhóm tin tặc Cl0p thực hiện chỉ được phát hiện vào tháng 7 năm 2022 khi các kỹ sư điều tra sự cố hiệu suất hệ thống, nhưng điều tra sau đó cho thấy kẻ tấn công đã xâm nhập vào mạng lưới từ sớm hơn rất nhiều, vào tháng 9 năm 2020.

Những thất bại trong bảo mật

Trong số các lỗi hệ thống dẫn đến cuộc tấn công và sự chậm trễ gần hai năm trong việc phát hiện nó, ICO đã chỉ ra những điểm yếu chính sau:

• Kiểm soát quyền hạn lỏng lẻo: Cho phép kẻ tấn công leo thang đặc quyền lên cấp quản trị viên (admin) sau khi đã xâm nhập được vào mạng lưới ban đầu.
• Giám sát và ghi nhật ký không đầy đủ: ICO lưu ý rằng chỉ có 5% môi trường IT của South Staffordshire Water được giám sát.
• Sử dụng phần mềm không được hỗ trợ: Công ty vẫn đang vận hành các phần mềm lỗi thời, bao gồm cả Windows Server 2003.
• Quản lý lỗ hổng kém: Điều tra cho thấy các hệ thống quan trọng không được vá lỗi đối với các lỗ hổng đã biết, và công ty không thực hiện thường xuyên các quét bảo mật nội bộ hoặc bên ngoài.

Hậu quả về dữ liệu

ICO cho biết có tổng cộng 633.887 người bị ảnh hưởng bởi vụ tấn công và việc rò rỉ dữ liệu sau đó. Đối với khách hàng, các thông tin bị lộ bao gồm thông tin nhận dạng cá nhân, tên đăng nhập và mật khẩu sử dụng để truy cập dịch vụ trực tuyến, cũng như số tài khoản ngân hàng và mã ngân hàng.

Đối với một số ít khách hàng nằm trong Danh bạ Dịch vụ Ưu tiên của công ty cấp nước, thông tin bị đánh cắp có thể dẫn đến việc suy ra tình trạng khuyết tật của họ. Nhóm Cl0p còn lấy cắp thông tin nhân sự, bao gồm cả số bảo hiểm quốc gia của nhân viên. Tổng số dữ liệu bị đánh cắp sau đó đã bị công khai trực tuyến với dung lượng hơn 4 TB.

Phản ứng từ cơ quan quản lý

Ian Hulme, Giám đốc điều hành giám sát quy định của ICO, nhận định: "Khách hàng không có quyền lựa chọn công ty cấp nước phục vụ mình – họ bắt buộc phải chia sẻ thông tin cá nhân và đặt niềm tin vào nhà cung cấp đó. Do đó, điều cần thiết là các công ty cấp nước phải tôn trọng niềm tin đó bằng cách nghiêm túc thực hiện các trách nhiệm bảo vệ dữ liệu."

Ông nhấn mạnh rằng các biện pháp bảo mật mà South Staffordshire Water đã bỏ lỡ là những biện pháp kiểm soát đã được thiết lập, hiểu rộng rãi và hiệu quả để bảo vệ mạng máy tính. "Việc chờ đợi cho đến khi có sự cố hiệu suất hoặc thư đòi tiền chuộc mới phát hiện ra vi phạm là không thể chấp nhận được. An ninh chủ động là một yêu cầu pháp lý, không phải là một tùy chọn bổ sung."

Vào tháng 12 năm 2025, ICO đã thông báo ý định phạt tiền South Staffordshire Water. Sau khi xem xét các đại diện của công ty, bao gồm việc đồng ý với các phát hiện và thừa nhận sai sót sớm, cơ quan quản lý đã giảm mức phạt xuống 40%.

Trong một tuyên bố, Charley Maher, Giám đốc điều hành tập đoàn South Staffordshire Plc, cho biết: "Chúng tôi chấp nhận quyết định của ICO liên quan đến cuộc tấn công mạng mà Tập đoàn trải qua vào năm 2022, và chúng tôi xin lỗi vì sự lo lắng và lo ngại mà vụ việc này gây ra cho khách hàng và nhân viên. Chúng tôi đã thực hiện các hành động ngay lập tức để ngăn chặn sự cố, hỗ trợ những người bị ảnh hưởng và giảm thiểu rủi ro tái diễn."