ICO Denda Pemasok Air Inggris $1,3 Juta Akibat Kebocoran Data 664 Ribu Pelanggan

Kantor Komisaris Informasi Inggris (ICO) resmi menjatuhkan denda sebesar £963.900 (sekitar $1,3 juta) kepada South Staffordshire Water Plc dan induk perusahaannya. Denda ini merupakan buntut dari serangan siber yang mengekspos data pribadi milik 663.887 pelanggan dan karyawan.

Insiden ini menjadi pengingat keras bagi para pengelola infrastruktur kritis bahwa “hutang teknis” dan pengabaian keamanan dapat berujung pada konsekuensi finansial dan reputasi yang sangat mahal.

Kronologi: Malware yang “Betah” Selama 20 Bulan

Investigasi ICO mengungkap fakta mengejutkan bahwa serangan ini bukanlah insiden tunggal yang terjadi cepat, melainkan infiltrasi jangka panjang:

• September 2020: Penyerang pertama kali masuk melalui serangan phishing dan menginstal malware.
• Mei – Juli 2022: Setelah bersembunyi selama 20 bulan tanpa terdeteksi, peretas mulai melakukan eskalasi hak istimewa hingga mendapatkan akses Domain Administrator.
• Juli 2022: Kebocoran baru terdeteksi setelah muncul masalah performa pada sistem IT perusahaan.
• Pelaku: Kelompok ransomware Cl0p mengeklaim bertanggung jawab atas serangan ini dan membocorkan sampel data di dark web.

Daftar Kelalaian Keamanan yang Fatal

ICO menemukan serangkaian kegagalan sistematis dalam pendekatan keamanan data perusahaan, yang meliputi:

1. Penggunaan Software Usang: Masih digunakannya sistem operasi purba seperti Windows Server 2003 yang sudah lama tidak didukung.
2. Pemantauan yang Minim: Sistem monitoring keamanan hanya mencakup sekitar 5% dari total lingkungan IT perusahaan.
3. Manajemen Kerentanan Buruk: Banyak security patch yang terlewat dan tidak adanya pemindaian (scanning) keamanan internal maupun eksternal secara rutin.
4. Kontrol Akses Lemah: Kurangnya kontrol untuk mencegah eskalasi hak istimewa (privilege escalation).

Data yang Bocor dan Dampak Denda

Data yang berhasil dicuri dan dipublikasikan di dark web mencakup informasi sensitif seperti:

• Nama lengkap, alamat fisik, email, dan nomor telepon.
• Tanggal lahir dan kredensial akun pelanggan.
• Detail rekening bank.
• Data HR karyawan (termasuk nomor asuransi nasional).

Denda awal yang direncanakan sebenarnya jauh lebih besar. Namun, karena South Staffordshire mengakui tanggung jawab lebih awal dan bersikap kooperatif selama investigasi, ICO memberikan potongan denda sebesar 40%.