ICO ukarało grupę Interserve grzywną w wysokości 4,4 miliona funtów za naruszenie RODO
Biuro Komisarza ds. Informacji (Information Commissioner's Office) nałożyło na Interserve Group Limited karę w wysokości 4,4 milionów funtów za niewystarczające środki bezpieczeństwa. Dane 113,000 pracowników Interserve Group zostały narażone na atak phishingowy.
Naruszenia miały miejsce przed Brexitem. Do pracownika Interserve wysłano phishingowy e-mail, zawartość którego wyglądała na wymagającą pilnych działań. Kolejne pobranie i rozpakowanie ZIP spowodowało instalację złośliwego oprogramowania na stacji roboczej, dając cyberprzestępcy dostęp do komputera. Program antywirusowy Interserve wyeliminował wirusa i nałożył na niego kwarantannę. Został wysłany alert o dostaniu się szkodliwego oprogramowania do systemu, jednak firma nie zdołała dokładnie zbadać podejrzanej aktywności.
Po wstępnym dostępie do serwera cyberprzestępca miał już możliwość przemieszczać się w obrębie infrastruktury Interserve. W kolejnych dniach włamał się do 283 systemów i 16 kont (12 to uprzywilejowane konta administratorów) w całej infrastrukturze. Uprzywilejowane konto zostało następnie użyte przez aktora zagrożenia do odinstalowania rozwiązania antywirusowego Interserve, aby zapobiec wykryciu złośliwego oprogramowania, które wykorzystywał. Atakujący następnie włamał się do czterech baz danych HR zawierających dane 113 tys. pracowników i byłych pracowników. Bazy danych zostały zaszyfrowane i udostępnione Interserve jako niedostępne. Powiadomienie regulacyjne skierowane do NCA, NCSC i ICO.
Dane osobowe, do których cyberprzestępca otrzymał dostęp to między innymi: numery telefonów, adresy e-mail, krajowe numery ubezpieczenia, dane konta bankowego, stan cywilny, daty urodzenia, poziom wykształcenia i dane o edukacji, kraje urodzenia, płcie, liczba osób na utrzymaniu, dane kontaktowe w nagłych wypadkach i wynagrodzenie. Bazy danych zawierały również dane osobowe specjalnej kategorii, w tym pochodzenie etniczne, religię, szczegóły niepełnosprawności, orientację seksualną i informacje zdrowotne dotyczące wniosków o emeryturę.
Biuro Komisarza ds. Informacji wykazało 24 października 2022 r., że firma Interserve nie podjęła działań następczych po pierwotnym alercie o podejrzanej aktywności. Interserve również używał przestarzałych systemów zabezpieczenia i protokołów oraz odpowiednio nie szkolił pracowników.
.png)
