### 侵害とその影響 160万人の消費者に毎日飲料水を供給している**South Staffordshire Water**は、2022年にITオペレーションを混乱させたサイバー攻撃を公表しました。当初、**Cl0p**ランサムウェアグループ（当初は標的を誤認していた）からの主張を軽視していましたが、ICOの調査により、流出したデータの信憑性が確認され、最初の侵害は2020年9月に遡ることが判明しました。 ICOの発表によると、「South Staffordshire PlcおよびSouth Staffordshire Water Plc（総称してSouth Staffordshire）は、633,887人の個人情報が抽出され、ダークウェブに公開された重大なサイバー攻撃を受けて、963,900ポンドの罰金を科されました。」 ICOによると、攻撃者は**phishing**攻撃を通じてアクセス権を取得し、20ヶ月間検出されなかった**malware**をインストールしました。2022年5月から7月の間に、権限昇格を行い、ドメイン管理者アクセス権を取得しました。この侵害は、ITパフォーマンスの問題により、2022年7月にようやく発見されました。 侵害されたデータには、氏名、住所、メールアドレス、電話番号、生年月日、顧客アカウントの認証情報、銀行口座の詳細、および国民保険番号を含む従業員のHRデータが含まれていました。 ### 特定されたセキュリティ上の不備 ICOは、データ流出につながったいくつかの重大なセキュリティ上の不備を特定しました。 * 権限昇格を防止するための管理制御の不備 * IT環境の約5%しかカバーしていない監視体制 * **Windows Server 2003**のような旧式のソフトウェアの使用 * 脆弱性管理の不備とセキュリティパッチの欠落 * 定期的な内部および外部のセキュリティスキャンの欠如 これらの不備は、英国のデータ保護規制の明確な違反を構成し、多額の罰金につながりました。**South Staffordshire**が責任を認め、調査に協力し、控訴なしで和解に同意したため、当初の罰金は40%削減されました。