ロンドンのある区議会が、少なくとも28万人の住民に影響を及ぼしたデータ侵害につながったサイバーセキュリティ上の不備により、譴責を受けた。
英国の情報コミッショナー事務局(ICO)は、2020年のランサムウェア事案に関する調査により、ロンドン・ハックニー区(LBoH)において個人データを保護するための適切なセキュリティとプロセスが欠如していたことが浮き彫りになったと述べた。
具体的には、セキュリティパッチ管理システムがすべてのデバイスに対して能動的に適用されていることを確実にしなかったこと、またハックニー区議会のサーバーに接続されたまま休眠していたアカウントの脆弱なパスワードを変更しなかったことが含まれ、これが攻撃者に悪用された。
2020年10月の攻撃では、脅威アクターがLBoHのコンピュータシステムに侵入し、個人データを含む記録にアクセスして暗号化し、持ち出した。
これには、住民の人種または民族的出自、宗教的信条、性的指向、健康データ、経済データ、犯罪歴データといった極めて機微な情報が含まれていた。さらに、氏名や住所などの個人を特定できる情報(PII)も攻撃でアクセスされ、この攻撃はPysa/Mespinozaランサムウェアグループによるものと特定された。
攻撃者によって約1万件の記録が持ち出されたとみられ、LBoHは230人のデータ主体に対して「実質的な害のリスク」があることを認めた。
この事案は、地域サービスに甚大な混乱も引き起こし、不動産取引のための土地検索、事業税および住民税の支払い、COVID支援金やエネルギー還付金の支給などに影響が及んだ。
報道によれば、LBoHは攻撃の結果として復旧費用に1200万ポンド(1560万ドル)超を支出せざるを得なかったという。
ICOの副コミッショナーであるスティーブン・ボナー氏は次のようにコメントした。「これはLBoHによる明白で回避可能な過失であり、大量のデータ喪失を招き、多くの住民に深刻な悪影響を与えました。」
「最悪の場合、考え得る限り最も個人的な情報の一部が攻撃者の手に渡ったことになります。人々が頼りにしているシステムは何か月も停止していました。これは到底容認できず、起きるべきではありませんでした。」
続きを読む: レスター市議会、ランサムウェア攻撃で機密文書が漏えいしたことを確認
譴責に対し、LBoHの広報担当者は、住民に対するサイバーセキュリティ上の義務を果たさなかったとするICOの結論に同当局は異議があると述べた。
「ICOが調査を完了したことは歓迎しますが、区議会がセキュリティ上の義務に違反したとは考えていません。ICOは事実を誤解し、当該問題に関して法の適用を誤り、住民のデータに対するリスクを誤って描写し誇張していると考えています」と同担当者は述べた。
LBoHはまた、「限られたリソース」を理由に、ICOの判断に異議申し立ては行わないと付け加えた。
ICOは、セキュリティ上の不備についてLBoHに罰金を科すことも検討したが、公的サービスに悪影響を及ぼす可能性があるとして、公的部門組織に対する金銭的制裁を最小化するという方針に沿い、代わりに譴責を出すことを選択したと明らかにした。
ハックニー区議会の対応が評価
データ保護規制当局はまた、攻撃について全住民に確実に通知したこと(重大なリスクがあると判断された人には対面で通知したことを含む)など、事案への区議会の対応を評価した。さらに、LBoHが国家サイバーセキュリティセンター(NCSC)や国家犯罪対策庁(NCA)などの関係当局と迅速に連携したことも指摘した。
加えてICOは、区議会が現在ゼロトラストのセキュリティモデルを導入していること、また事案以前から脆弱性を減らすためにパッチ管理システムを最新鋭の新システムへ置き換えようとしていたことを認めた。
LBoHはまた、良好なガバナンス体制、改善計画、職員のセキュリティ研修および能力開発についても評価された。
ボナー氏は次のように述べた。「ここにはハックニーにとっても全国の自治体にとっても重要な教訓があります。システムは更新しなければならない。人的ミスのリスクと潜在的影響を減らすための予防措置を講じなければならない。そして、託されたデータが確実に保護されていることを担保しなければならないのです。」
画像クレジット: cktravels.com / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/ico-london-council-data-breach/
