A empresa de terceirização Capita foi multada em 14 milhões de dólares por erros de proteção de dados depois que hackers roubaram informações pessoais de 6,6 milhões de pessoas, incluindo informações de funcionários e de clientes.
John Edwards, o comissário de informação britânico que recebeu a multa, disse que o roubo ocorrido em março de 2023 do grupo e das empresas que apoiava, incluindo 325 prestadores de pensões, causou ansiedade e stress às pessoas afetadas.
A multa de £ 8 milhões para a Capita e de £ 6 milhões para seu braço capita Pension Solutions ocorre quando as empresas britânicas lutam contra uma onda de ataques cibernéticos na última onda que atingiu empresas como M&S e Jaguar Land Rover.
Capita descobriu o ataque em dez minutos, mas não desligou a unidade direcionada por um arquivo malicioso por 58 horas, período durante o qual o invasor pôde usar seus sistemas. Os hackers quase pegaram um terabyte de dados, instalaram ransomware e restauraram todas as senhas dos usuários, bloquearam a equipe do capita.
Em alguns casos, as informações roubadas eram sensíveis, tais como detalhes de registos criminais, dados financeiros e “dados de categoria especial”, que podem incluir raça, religião e orientação sexual.
Uma multa proposta original de £ 45 milhões diminuiu depois que a Capita fez representações por ter feito melhorias de segurança e se engajado com as autoridades de supervisão e o Centro Nacional de Segurança Cibernética, parte do GCHQ, que esta semana disse que o número de ciberataques de importância nacional no Reino Unido mais que dobrou no ano passado.
Ele instou empresas de todos os tamanhos a elaborarem planos de contingência para “sua infraestrutura de TI (ficar) paralisada amanhã e todas as suas telas (ficarem) vazias”.
A investigação do Comissário de Informação concluiu que o Capita, antes do ataque, não conseguiu corrigir vulnerabilidades conhecidas, o seu centro de operações de segurança tinha falta de pessoal e tinha realizado testes de defesa insuficientes, apesar de cuidar de milhões de itens pessoais e, por vezes, sensíveis.
“A Capita falhou com a sua obrigação de proteger os dados que foram confiados a milhões de pessoas”, disse Edwards. “A escala desta violação e o seu impacto poderiam ter sido evitados se existissem medidas de segurança suficientes.
Quando uma empresa do porte da Capita entra nos cartões, as consequências podem ser significativas. Não só para aqueles cujas tarefas estão comprometidas – dos quais muitos nos falaram sobre a ansiedade e o stress que sofreram – mas para uma maior confiança entre o público e para a nossa prosperidade futura. Como mostra o nosso excelente documento, nenhuma organização é demasiado grande para ignorar a sua responsabilidade. “
Após o marketing do boletim informativo
O CEO da Capita, Adolfo Hernandez, disse: “Como uma organização que forneceu serviços públicos importantes, bem como serviços importantes para o setor privado, a Capita esteve entre as primeiras na última onda de ataques cibernéticos muito significativos a grandes empresas britânicas.
“Quando assumi o cargo de CEO, no ano seguinte ao ataque, acelerei a nossa transformação em segurança cibernética, com nova liderança digital e tecnológica e investimentos significativos. Como resultado, reforçámos enormemente a nossa posição de segurança cibernética, construímos uma proteção avançada e incorporámos uma cultura de vigilância contínua.”
