Niet hackers, maar nalatigheid is het grootste cyberrisico, zo stelt de Britse privacytoezichthouder ICO bij het opleggen van een boete van omgerekend vijf miljoen euro aan een Brits bouwbedrijf. Een phishingmail zorgde ervoor dat criminelen uiteindelijk toegang tot de zeer persoonlijke gegevens van 113.000 medewerkers van de onderneming kregen. Uit onderzoek van de ICO bleek dat het bouwbedrijf nagelaten had om basisbeveiligingsmaatregelen te treffen, zoals het installeren van beveiligingsupdates en trainen van personeel (pdf).

Begin 2020 werd er een phishingmail naar een gezamenlijke mailbox van het bouwbedrijf gestuurd. Het document linkte naar een zip-bestand en stelde dat het snel moest worden behandeld. Een medewerker stuurde de e-mail door naar een andere medewerker die het zip-bestand vervolgens downloadde en het scriptbestand erin opende. Zo raakte het werkstation besmet met malware waardoor aanvallers toegang tot het systeem kregen.

De medewerker werkte vanuit huis, waardoor bezochte websites niet werden gefilterd, zoals wel op het kantoornetwerk gebeurde. De virusscanner van het bouwbedrijf plaatste verschillende malwarebestanden in quarantaine en verstuurde een waarschuwing. Het bouwbedrijf deed echter niets met deze waarschuwing. Daardoor werd niet ontdekt dat de aanvallers toegang tot allerlei systemen van de onderneming hadden.

De aanvallers wisten uiteindelijk 283 systemen en zestien accounts in vier domeinen te compromitteren, waarvan twaalf accounts met verhoogde rechten. Via een dergelijk account werd vervolgens de antivirussoftware binnen het bouwbedrijf uitgeschakeld en ransomware uitgerold. Ook wisten de aanvallers toegang tot vier HR-databases te krijgen met daarin de persoonlijke informatie van 113.000 personen, waaronder speciale categorieën persoonsdata. Deze data werd ook versleuteld.

Het ging om contactgegevens, telefoonnummer, e-mailadres, verzekeringsnummer, rekeninggegevens, burgerlijke status, geboortedatum, opleiding, land van herkomst, geslacht, noodcontactgegevens. Daarnaast betrof het ook speciale persoonsgegevens, waaronder etniciteit, geloofsovertuiging, informatie over handicaps, seksuele geaardheid en gezondheidsgegeven met betrekking tot uitdiensttreding wegens ziekte. Pas na een routinecontrole werd de aanval en losgeldboodschap van de aanvallers ontdekt. Na een melding bij de autoriteiten startte de ICO een onderzoek. Daaruit bleek dat basale beveiligingsmaatregelen niet waren getroffen.

Het bouwbedrijf had achttien servers met Windows Server 2003 R2 en 22 servers met Windows Server 2008 R2. Beide besturingssystemen werden op het moment van de aanval al jaren niet meer ondersteund met beveiligingsupdates. Ook werd er niet gemonitord op verdachte activiteiten en ontbrak gepaste end-to-end beveiliging. De virusscanner was niet up-to-date en de host-based firewalls waren niet ingeschakeld. Tevens werd er niet gewerkt met allow or deny-lijsten voor applicaties en stond het bouwbedrijf het uitvoeren van Microsoft Office macro's toe. Verder werkte het bedrijf met het verouderde SMBv1-protocol en werd de initiële virusmelding niet onderzocht. Tevens bleek dat een groot aantal accounts met verhoogde rechten draaide.

De Britse privacytoezichthouder komt dan ook tot de conclusie dat het bouwbedrijf geen gepaste maatregelen heeft getroffen om persoonsgegevens te beschermen en is daarmee in overtreding van de Britse privacywetgeving. "De deur openlaten voor aanvallers is nooit acceptabel, met name wanneer het gaat om de meest gevoelige gegevens van mensen", zegt de Britse Informatiecommissaris John Edwards. "Als je bedrijf niet regelmatig op verdachte activiteit monitort en niet reageert op waarschuwingen, of geen updates installeert en personeel niet traint, kun je een soortgelijke boete van mijn instantie verwachten."