De Britse privacytoezichthouder ICO zal geen onderzoek doen naar de ransomware-aanval op de British Library in 2023, waarbij zo'n zeshonderd gigabyte aan data werd buitgemaakt en systemen versleuteld. Het ging onder andere om persoonlijke informatie van gebruikers en personeel. De gegevens werden online geplaatst toen de bibliotheek geen losgeld betaalde.

De aanval heeft zeer vermoedelijk plaatsgevonden via een Terminal Services-servers. Deze server was begin 2020 geïnstalleerd om externe partners en interne systeembeheerders toegang te geven. Vanwege de coronapandemie kregen meer personen toegang. Vermoedelijk hebben de aanvallers een account met verhoogde rechten weten te compromitteren. Dit is mogelijk via een phishing- of bruteforce-aanval gegaan, zo stelt de bibliotheek in een onderzoeksrapport.

Het systeem in kwestie gebruikte geen multifactorauthenticatie, zo laat de analyse naar de aanval verder weten. "In oktober 2023 rapporteerde de British Library een ransomware-aanval aan ons, die door het ontbreken van multifactorauthenticatie op een administrator-account kon escaleren", aldus de ICO. Ook de bibliotheek erkent in een onderzoek naar de aanval dat het ontbreken van MFA waarschijnlijk heeft bijgedragen aan de mogelijkheid van de aanvallers om toegang tot het systeem te krijgen.

De ICO heeft in het verleden geregeld onderzoeken gedaan naar datalekken veroorzaakt door ransomware-aanvallen. Daarbij werden organisaties ook berispt of beboet omdat de aanvallen mogelijk waren doordat de getroffen organisaties hadden nagelaten om basale beveiligingsmaatregelen te treffen.

In dit geval ziet de toezichthouder af van een onderzoek en prijst het de bibliotheek omdat het transparant communiceerde over de kwetsbaarheden die aan het incident hebben bijdragen, de impact van de aanval en de maatregelen die het tot nu toe genomen heeft om persoonlijke informatie te beschermen. "Vanwege onze huidige prioriteiten, is verder onderzoek niet het meest efficiënt gebruik van onze middelen", concludeert de ICO.