安全漏洞触目惊心！英国水务公司因严重网络安全事故遭到监管重罚

英国数据监管机构信息专员办公室（ICO）近期公布一则处罚公告，对南斯塔福德郡水务公司及其母公司作出高额处罚决定，罚款金额高达96.39万英镑。本次处罚源于该企业早年发生的一起严重网络安全事件，近66.4万名客户及员工的私密信息遭到泄露，安全隐患持续时间极长。
南斯塔福德郡水务公司是英国当地重要民生企业，每日为160万民众提供饮用水，日均供水量高达3.3亿升。早在2022年，该企业就公开披露自身遭受网络袭击，内部信息化系统运行受到明显干扰。本次攻击事后由知名勒索软件团伙 Cl0p 认领，虽然企业初期予以否认，但流出的数据样本最终被证实真实有效。
经过ICO深度复盘调查，本次安全事件远比外界预想更加严重。入侵最早可追溯至2020年9月，黑客悄无声息进驻企业网络环境，恶意程序在系统内潜伏长达20个月未被察觉。攻击者在2022年5月至7月期间进一步提权，成功获取域管理员权限，肆意读取内部核心数据。直至同年7月，系统异常卡顿、性能下降，企业排查故障时才意外发现入侵痕迹。
本次泄露的数据覆盖面极广，包含用户姓名、常住地址、邮箱、手机号、出生日期、账户资料、银行卡信息，同时还外泄大量员工人事档案，其中包含高度敏感的国民保险编号，隐私泄露危害程度极高。
监管机构深入排查后，曝光企业多项致命安全缺陷：权限管控机制薄弱，无法阻止恶意提权；全网监控覆盖率极低，仅5%设备受到监测；长期使用老旧操作系统，例如 Windows Server 2003；漏洞修补流程混乱，系统补丁长期缺失；并且从未开展常态化内外安全扫描。多项违规操作违反英国数据保护法规，监管部门依法进行处罚。
据悉，本次原始处罚金额更高，由于该企业主动承认安全责任、全程配合调查且放弃上诉，监管部门最终减免40%罚款。此次事件也成为英国近年典型的基础设施网络安全处罚案例，警示传统民生企业必须重视老旧系统防护、强化内网安全监测，避免长期暴露在黑客攻击风险之下。