A empresa de terceirização Capita foi multada em £ 14 milhões por falhas na proteção de dados depois que hackers roubaram informações pessoais de 6,6 milhões de pessoas, incluindo detalhes de funcionários e de clientes de seus clientes.
John Edwards, o comissário de informação do Reino Unido que aplicou a multa, disse que o roubo de dados do grupo e das empresas que apoiava, em março de 2023, incluindo 325 prestadores de pensões, causou ansiedade e stress às pessoas afetadas.
A multa de 8 milhões de libras para a Capita e a multa de 6 milhões de libras para seu braço Capita Pension Options ocorrem no momento em que as empresas do Reino Unido lutam contra uma onda de ataques cibernéticos na recente onda que paralisou empresas como a M&S e a Jaguar Land Rover.
Capita descobriu o ataque em 10 minutos, mas não desligou o dispositivo que havia sido alvo de um arquivo malicioso por 58 horas, período durante o qual o invasor conseguiu explorar seus sistemas. Os hackers pegaram quase um terabyte de dados, instalaram ransomware e redefiniram todas as senhas de usuários, bloqueando o acesso da equipe do Capita.
Em alguns casos, as informações roubadas eram sensíveis, tais como detalhes de registos criminais, dados financeiros e “dados de categoria especial”, que podem incluir raça, religião e orientação sexual.
Uma multa proposta originalmente de £ 45 milhões foi cortada depois que a Capita fez declarações de que havia feito melhorias na segurança e se envolveu com os reguladores e o Centro Nacional de Segurança Cibernética, parte do GCHQ, que esta semana disse que o número de ataques cibernéticos de importância nacional no Reino Unido mais que dobrou no ano passado.
Apelou às empresas de todas as dimensões para elaborarem planos de contingência para caso “a sua infra-estrutura de TI [is] aleijado amanhã e todas as suas telas [go] em branco”.
A investigação do comissário de informação concluiu que, antes do ataque, o Capita não conseguiu corrigir vulnerabilidades conhecidas, o seu centro de operações de segurança tinha falta de pessoal e tinha realizado testes inadequados de defesas, apesar de cuidar de milhões de registos pessoais e por vezes sensíveis.
“A Capita falhou no seu dever de proteger os dados que lhe foram confiados por milhões de pessoas”, disse Edwards. “A escala desta violação e o seu impacto poderiam ter sido evitados se tivessem sido implementadas medidas de segurança suficientes.
“Quando uma empresa do tamanho da Capita fica aquém, as consequências podem ser significativas. Não apenas para aqueles cujos dados estão comprometidos – muitos dos quais nos contaram sobre a ansiedade e o estresse que sofreram – mas para uma maior confiança entre o público e para a nossa prosperidade futura. Como o nosso excelente exemplo mostra, nenhuma organização é demasiado grande para ignorar as suas responsabilidades.”
após a promoção do boletim informativo
O executivo-chefe da Capita, Adolfo Hernandez, disse: “Como uma organização que presta serviços públicos essenciais, bem como serviços essenciais para clientes do setor privado, a Capita esteve entre as primeiras na recente onda de ataques cibernéticos altamente significativos a grandes empresas do Reino Unido.
“Quando assumi o cargo de CEO, no ano seguinte ao ataque, acelerei a nossa transformação da segurança cibernética, com nova liderança digital e tecnológica e investimentos significativos. Como resultado, reforçámos enormemente a nossa postura de segurança cibernética, construímos proteções avançadas e incorporámos uma cultura de vigilância contínua.”
