Fuites de données Sepa que l’agence résiste aux demandes de rançon

Le gang Conti ransomware a publié un certain nombre de fichiers volés à l’Agence écossaise de protection de l’environnement (Sepa) dans une attaque la veille de Noël, que l’agence continue de résister à ses demandes de payer.

L’attaque a vu le vol de 1,2 Go de données contenues dans environ 4.000 fichiers. Le matériel en question comprend des informations commerciales, y compris des permis de site réglementés, des autorisations, des avis d’exécution, des programmes de planification d’entreprise et de changement; l’information sur l’approvisionnement, comme les marchés publics; l’information sur le projet concernant les travaux commerciaux de Sepa; et des renseignements personnels sur son personnel.

Le directeur général de l’agence, Terry A’Hearn, a déclaré : « Soutenu par le gouvernement écossais, Police Scotland et le National Cyber Security Centre [NCSC], nous continuons à répondre à ce qui reste une cyberattaque importante et sophistiquée et un crime grave contre Sepa.

« Nous avons clairement indiqué que nous n’utiliserons pas les finances publiques pour payer des criminels sérieux et organisés qui ont l’intention de perturber les services publics et d’extorquer des fonds publics.

« Nous avons fait de nos obligations légales et de nos devoirs de soins sur le traitement sensible des données une priorité élevée et, à la suite des conseils de Police Scotland, nous confirmons que les données volées ont été publiées illégalement en ligne. Nous travaillons rapidement avec des partenaires multi-agences pour récupérer et analyser les données, puis, au fur et à mesure que les identifications sont confirmées, contacter et soutenir les organisations et les individus concernés.

Sepa a déclaré que des travaux étaient en cours pour analyser le vidage de données du gang, mais a dit qu’il ne savait pas, et peut-être ne saurait jamais, tous les détails de ce qui a été volé. Elle a communiqué avec le personnel touché en fonction de l’information disponible, a mis sur place un site Web dédié au soutien à la perte de données et fournit des conseils et du soutien de la police à ses partenaires des entreprises et de la chaîne d’approvisionnement.

Elle a également indiqué que la majeure partie de ses travaux, y compris la réglementation prioritaire, la surveillance, les prévisions d’inondation et les services d’alerte, s’adaptaient et fonctionnaient à ce moment-là.

« Malheureusement, nous ne sommes pas les premiers et ne sera pas la dernière organisation nationale ciblée par des groupes criminels internationaux probables », a déclaré A’Hearn. « Nous avons dit que même si, pour l’instant, nous avons perdu l’accès à la plupart de nos systèmes, y compris des choses aussi basiques que notre système de messagerie, ce que nous n’avons pas perdu, ce sont nos 1 200 experts.

« Grâce à leurs connaissances, à leurs compétences et à leur expérience, nous nous sommes adaptés et, depuis le premier jour, nous avons continué d’offrir des services prioritaires de réglementation, de surveillance, de prévision des inondations et d’alerte. Bien que certains systèmes et services puissent être gravement touchés pendant un certain temps, étape par étape, nous nous travaillons à évaluer et à examiner comment nous nous rétablissons. Nous publierons une mise à jour plus large sur la prestation et la récupération des services au début de la semaine prochaine, avec des mises à jour hebdomadaires qui seront claires sur ce à quoi nous pouvons nous attendre et sur la façon dont nous donnerons la priorité aux progrès réalisés.

L’inspecteur-détective Michael McCullagh, de l’Unité des enquêtes sur la cybercriminalité de Police Scotland, a ajouté : « Il s’agit toujours d’une enquête en cours. Police Scotland travaille en étroite collaboration avec Sepa et nos partenaires du gouvernement écossais et de la communauté britannique de l’application de la loi pour enquêter et fournir un soutien en réponse à cet incident. Les enquêtes en sont encore à un stade précoce et continuent de progresser, y compris le déploiement de ressources spécialisées en cybercriminalité pour appuyer cette réponse.

Jude McCorry, directeur général du Scottish Business Resilience Centre (SBRC), a déclaré : « Il existe de nombreuses façons, y compris ransomware, qu’une entreprise puisse connaître un incident de cybersécurité, avec des niveaux variables de complexité et de perturbation. Les cyber-incidents peuvent se produire par le ciblage délibéré comme nous l’avons vu avec Sepa, ou même l’erreur humaine. Le résultat final est le même – un effet perturbateur sur les opérations commerciales.

« Chez SBRC, nous travaillons en partenariat avec Police Scotland et le gouvernement écossais qui dirige la première ligne d’aide collaborative pour la réponse aux incidents cybernétiques au Royaume-Uni pour les organisations en Écosse. »

Le SBRC gère sa propre ligne d’assistance en cas d’incident pour les victimes en Écosse, qui peut être atteint au 01786 437472, fournissant un soutien et des conseils, mais dans un premier temps, les entreprises ciblées devraient contacter police ecosse via les canaux habituels.

Stuart Reed, directeur britannique d’Orange Cyberdefense, a déclaré que la réponse de Sepa à l’incident jusqu’à présent avait été exemplaire, à la suite du playbook établi par le fournisseur norvégien de métaux Norsk Hydro, qui a établi de nouvelles normes en matière de transparence lors de son attaque en mars 2019.

« La poursuite d’un dialogue ouvert avec les parties prenantes dans les prochains jours sera à juste titre une priorité clé », a-t-il déclaré. « Cependant, maintenant que le pire est arrivé et que les dossiers de Sepa sont dans le domaine public, l’organisation doit se concentrer sur le soutien de ses défenses et le rafraîchissement de ses pratiques de cybersécurité.

« Unla violation manipulée est louable, mais si les pirates enfreignent l’organisation pour une deuxième fois, le courant du sentiment public pourrait se retourner contre Sepa, en particulier si des données personnelles sensibles étaient exposées. L’adoption d’une approche en couches de la sécurité, le déploiement de personnes bien formées, des processus raffinés et des technologies de détection et d’intervention des menaces adaptées aux besoins peuvent réduire considérablement le risque posé par les acteurs malveillants, tout en minimisant l’impact d’une violation, si l’on se produit.

« Avec ces piliers en place, les employés, les partenaires et les organes directeurs de Sepa peuvent être sûrs que l’organisation remplit ses obligations et son devoir de soins. »