Власти города Глостер в Западном Мидленде, Великобритания, столкнулись с серьёзными финансовыми затратами в размере свыше £1,1 млн. ($1,39 млн.) для восстановления после кибератаки с использованием программы-вымогателя, произошедшей в декабре 2021 года. Информация о затратах была раскрыта в рамках повестки дня совещания муниципалитета.
Контекст совещания был обусловлен предупреждением, полученным муниципалитетом от Управления комиссара по информации (Information Commissioner’s Office, ICO) за недостаточные меры предотвращения инцидента. Кибератака привела к утечке личных данных жителей и общественности.
Проведённое расследование выявило, что причиной атаки стало фишинговое письмо. В связи с этим, значительные средства были направлены на привлечение специалистов по безопасности, приобретение необходимого программного обеспечения, замену критически важного оборудования и перевод всех ИТ-систем на облачный хостинг. Из общей суммы расходов, £250 000 ($315 000) были покрыты государственными грантами.
ICO особо подчеркнуло несколько ключевых недостатков в действиях муниципалитета, включая отсутствие системы управления информационной безопасностью и событиями безопасности (Security Information and Event Management, SIEM) и неспособность предотвратить вмешательство злоумышленников в системные журналы, что привело к потере важных доказательств, усложнив тем самым расследование и устранение последствий инцидента.
Несмотря на наличие систем резервного копирования, решение о полном восстановлении системы значительно затянуло процесс восстановления доступа к личным данным. ICO также выразило обеспокоенность относительно невозможности муниципалитета оперативно восстановить доступ к личным данным и определить лиц, подвергшихся риску утечки информации.
Действия муниципалитета были признаны нарушениями Общего регламента по защите данных Великобритании (General Data Protection Regulations, GDPR), что теоретически могло привести к штрафу до 4% от глобального оборота организации. Однако ICO ограничилось предупреждением, учитывая наличие резервных копий и то, что источником атаки было электронное письмо от третьей стороны.