黑客竊取了 660 萬人的個人信息(包括員工及其客戶的客戶的詳細信息)後,外包公司 Capita 因未能保護數據而被罰款 1400 萬英鎊。
實施罰款的英國信息專員約翰·愛德華茲 (John Edwards) 表示,2023 年 3 月,該集團及其支持的公司(包括 325 家養老金提供商)的數據被盜,給受影響的人帶來了焦慮和壓力。
Capita 被罰款 800 萬英鎊,其 Capita Pension Solutions 部門被罰款 600 萬英鎊,正值英國企業與最近一波網絡攻擊作鬥爭之際,這些攻擊使瑪莎百貨 (M&S) 和捷豹路虎 (Jaguar Land Rover) 等公司陷入癱瘓。
Capita 在 10 分鐘內檢測到了攻擊,但在 58 小時內沒有關閉惡意文件所針對的設備,在此期間攻擊者能夠利用其係統。黑客竊取了近 TB 的數據,安裝了勒索軟件並重置了所有用戶密碼,導致 Capita 員工停職。
在某些情況下,被盜的信息是敏感信息,例如犯罪記錄、財務數據和“特殊類別數據”的詳細信息,其中可能包括種族、宗教和性取向。
在 Capita 保證已做出安全改進並與監管機構和英國政府通訊總部下屬的國家網絡安全中心進行接觸後,最初提議的 4500 萬英鎊罰款被減少。該中心本週表示,英國具有全國意義的網絡攻擊數量在過去一年中增加了一倍多。
她呼籲各種規模的企業製定應急計劃,以防“明天你的 IT 基礎設施癱瘓,所有屏幕都一片空白”。
信息專員的調查發現,在襲擊發生之前,Capita 未能修復已知漏洞,其安全運營中心人手不足,儘管管理著數百萬個人記錄(有時甚至是敏感記錄),但對防禦措施的測試不足。
愛德華茲表示:“Capita 未能履行保護數百萬人委託給它的數據的職責。” “如果採取足夠的安全措施,本次洩露的規模和影響是可以避免的。
“當像 Capita 這樣規模的公司倒閉時,後果可能是毀滅性的。這不僅是為了那些數據被洩露的人(其中許多人向我們講述了他們所經歷的焦慮和壓力),也是為了公眾更廣泛的信任和我們未來的繁榮。正如我們所表明的那樣,任何組織都不能忽視自己的責任。”
推廣新聞通訊後
Capita 首席執行官阿道夫·埃爾南德斯 (Adolfo Hernandez) 表示:“作為一家向私營部門客戶提供基本公共服務和基本服務的組織,Capita 是最近一波針對英國主要公司的嚴重網絡攻擊浪潮中的首批攻擊者之一。
“當我在襲擊發生一年後擔任首席執行官時,我通過新的數字和技術領先地位以及大量投資,加速了我們的網絡安全轉型。因此,我們顯著加強了我們的網絡安全態勢,建立了先進的保護措施,並嵌入了持續警惕的文化。”










