Biuro Komisarza ds. Informacji (ICO) udzieliło stanowczej nagany londyńskiej dzielnicy Hackney za serię zaniedbań, które doprowadziły do niszczycielskiego ataku ransomware w październiku 2020 r..
Gang ransomware Pysa zaszyfrował łącznie około 440 000 plików, co wpłynęło na 280 000 mieszkańców Hackney we wschodnim Londynie, po tym jak wykorzystał lukę w zabezpieczeniach stare, lokalne serwery i systemy aby uzyskać dostęp do infrastruktury informatycznej Rady.
Śledztwo ICO ujawniło przykłady wyraźnego braku adekwatnych zasad bezpieczeństwa w Hackney Council. Między innymi regulator stwierdził, iż nie zapewnił, aby adekwatne procedury zarządzania poprawkami były aktywnie stosowane do wszystkich urządzeń, ani nie zmienił niezabezpieczonego hasła na uśpionym koncie użytkownika, które było połączone z serwerami Council, co zostało wykorzystane przez cyberprzestępców.
Wśród usług krytycznie dotkniętych były operacjami usług mieszkaniowych Hackey’aa lokatorzy nie mogli dokonywać płatności, rejestrować napraw, zatwierdzać wniosków mieszkaniowych ani ubiegać się o zasiłek mieszkaniowy lub program obniżek podatku od nieruchomości. Mieszkańcy dzielnicy nie mogli również przez pewien czas dokonywać płatności podatku od nieruchomości i podatku od nieruchomości online.
Cyberprzestępcy uderzyli, gdy Wielka Brytania balansowała na krawędzi poważnego wzrostu zachorowań na Covid-19, który miał wpędzić kraj z powrotem w serię blokad i skutecznie odwołać Boże Narodzenie. To najprawdopodobniej zwiększyło ostateczny wpływ na mieszkańców. Normalne usługi nie zostały w pełni przywrócone aż do 2022 r.
„To był oczywisty i możliwy do uniknięcia błąd London Borough of Hackney, który doprowadził do masowej utraty danych i miał bardzo szkodliwy wpływ na wielu mieszkańców. W najgorszym przypadku oznaczało to, iż niektóre z najbardziej osobistych informacji, jakie były możliwe, trafiły w ręce atakujących. Systemy, na których polegają ludzie, były niedostępne przez wiele miesięcy. To jest całkowicie niedopuszczalne i nie powinno się zdarzyć” — powiedział zastępca komisarza ICO Stephen Bonner.
„Chociaż nikczemni aktorzy mogą zawsze istnieć, rada nie wdrożyła skutecznie wystarczających środków, które mogłyby lepiej chronić ich systemy i dane przed cyberatakami. Każdy, kto odpowiada za ochronę danych osobowych, nie powinien popełniać prostych błędów, takich jak posiadanie uśpionych kont, na których nazwa użytkownika i hasło są takie same. Wielokrotnie widzimy naruszenia, do których nie doszłoby, gdyby takich błędów uniknięto”.
„To był godny pożałowania atak wyrafinowanych, zorganizowanych cyberprzestępców, który miał miejsce w czasie, gdy reagowaliśmy na pierwszą falę pandemii Covid” – powiedziała burmistrz Hackney Caroline Woodley.
„Jesteśmy głęboko zasmuceni wpływem, jaki ten bezsensowny atak przestępczy wywarł na mieszkańców i przedsiębiorstwa Hackney, i jestem wdzięczny pracownikom rady, którzy pomimo wyzwań kontynuowali pracę na rzecz naszych społeczności, a także naszym mieszkańcom za cierpliwość, gdy usługi zostały zakłócone”.
Dane kategorii specjalnej
W toku dochodzenia ICO poinformowało, iż odkryło, iż zaszyfrowane informacje obejmują dane kategorii chronionej na mocy brytyjskiego rozporządzenia GDPR, w tym informacje o pochodzeniu rasowym i etnicznym, przekonaniach religijnych, orientacji seksualnej, danych dotyczących zdrowia, danych ekonomicznych, danych dotyczących przestępstw oraz imiona i nazwiska oraz adresy.
Gang Pysa następnie wyciekły niektóre dane Radyw tym dane osobowe (PII), w tym dane paszportowe, skany dokumentów audytu najmu, dane pracowników i informacje o bezpieczeństwie społeczności. ICO stwierdziło, iż łącznie 9605 rekordów zostało wykradzionych i stanowiło poważne ryzyko wyrządzenia krzywdy 230 osobom.
„Jeśli chcemy, aby ludzie mieli zaufanie do władz lokalnych, muszą ufać, iż władze lokalne będą adekwatnie dbać o ich dane. Mieszkańcy Hackney przekonali się na własnej skórze o konsekwencjach tych błędów – rady w całym kraju powinny działać teraz, aby zapewnić, iż osoby, za które odpowiadają, nie spotka ten sam los” – powiedział Bonner.
Szybkie i kompleksowe działanie
W swoim orzeczeniu ICO stwierdziło, iż rada Hackney w pewnych kwestiach postąpiła adekwatnie – podjęła „szybkie i kompleksowe działania” w celu złagodzenia skutków ataku, gdy tylko stało się jasne, co się dzieje – powiedział Bonner i nawiązała pozytywną współpracę z takimi podmiotami, jak Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC), Narodowa Agencja ds. Przestępczości (NCA) i londyńska policja metropolitalna.
ICO pochwaliło także Radę Hackney za skuteczną współpracę z mieszkańcami i stałe informowanie osób uznanych za szczególnie zagrożone.
Przyznano również, iż Rada była w pewnym stopniu świadoma podstawowych luk, które doprowadziły do ataku ransomware, i była na drodze do ulepszenia swoich zasad zarządzania poprawkami dzięki nowego systemu. ICO pochwaliło ponadto ogólne struktury zarządzania Rady, zasady, plany usprawnień, szkolenie i rozwój personelu w następstwie ataku i wprowadzenia nowej polityki bezpieczeństwa opartej na zasadzie zerowego zaufania.
Wydając upomnienie, a nie karę pieniężną, ICO zwróciło również uwagę na wpływ, jaki COVID-19 wywarł na zasoby władz lokalnych w momencie ataku.
„To ważna lekcja zarówno dla Hackney, jak i dla rad w całym kraju” — powiedział Bonner. „Systemy muszą być aktualizowane; trzeba podejmować środki zapobiegawcze, aby zmniejszyć ryzyko i potencjalny wpływ błędu ludzkiego, a także trzeba zapewnić ochronę powierzonych danych”.
Rada Hackney kwestionuje ustalenia
Jednak w następstwie orzeczenia ICO, zarówno Woodley, jak i Hackney Council odpowiedziały, twierdząc, iż kwestionują szereg ustaleń regulatora. Twierdzili, iż Rada nie naruszyła swoich obowiązków bezpieczeństwa i oskarżyli ICO o niezrozumienie faktów i niewłaściwe zastosowanie prawa, a także o błędne scharakteryzowanie i wyolbrzymienie ryzyka dla danych mieszkańców.
Rzecznik Rady powiedział: „Nie uważamy jednak, iż leży w interesie naszych mieszkańców wykorzystanie naszych ograniczonych zasobów do kwestionowania decyzji ICO. Zamiast tego będziemy przez cały czas ściśle współpracować z Narodowym Centrum Cyberbezpieczeństwa, rządem centralnym i kolegami z samorządu lokalnego i szerszego sektora publicznego, aby odegrać swoją rolę w obronie usług publicznych przed stale rosnącymi zagrożeniami cyberataków i pomóc zapewnić bezpieczeństwo i dobre samopoczucie naszych mieszkańców.
„Nowoczesne systemy informatyczne są niezwykle złożone, a cyberzagrożenia stale rosną. Od 2020 r. organizacje każdej wielkości w sektorze publicznym i prywatnym padły ofiarą przestępców stosujących coraz bardziej złożone i wyrafinowane metody cyberataków. Aby sprostać temu gwałtownie zmieniającemu się zagrożeniu, inwestujemy i przebudowujemy nasze systemy, aby jeszcze bardziej przyspieszyć realizację naszej strategii korzystania z najnowocześniejszych i najbezpieczniejszych możliwych systemów”.
