تم تغريم شركة Capita مبلغ 14 مليون جنيه إسترليني بسبب إخفاقات حماية البيانات في الهجوم السيبراني لعام 2023 | فرد

شركة الاستعانة بمصادر خارجية فرد تم تغريمها 14 مليون جنيه إسترليني بسبب فشلها في حماية البيانات بعد أن سرق المتسللون المعلومات الشخصية لـ 6.6 مليون شخص، بما في ذلك تفاصيل الموظفين وتلك الخاصة بعملاء عملائها.

وقال جون إدواردز، مفوض المعلومات البريطاني الذي فرض الغرامة، إن سرقة البيانات في مارس 2023 من المجموعة والشركات التي دعمتها، بما في ذلك 325 من مقدمي المعاشات التقاعدية، تسببت في القلق والتوتر للمتضررين.

تأتي الغرامة البالغة 8 ملايين جنيه إسترليني على شركة Capita وغرامة 6 ملايين جنيه إسترليني على ذراع Capita Pension Solutions في الوقت الذي تكافح فيه الشركات في المملكة المتحدة موجة من الهجمات الإلكترونية في الموجة الأخيرة التي شلت شركات مثل آنسة و جاكوار لاند روفر.

واكتشفت شركة Capita الهجوم في غضون 10 دقائق، لكنها لم تقم بإغلاق الجهاز الذي استهدفه ملف ضار لمدة 58 ساعة، تمكن خلالها المهاجم من استغلال أنظمته. استولى المتسللون على ما يقرب من تيرابايت واحد من البيانات، وقاموا بتثبيت برامج الفدية وإعادة تعيين جميع كلمات مرور المستخدمين، مما أدى إلى إغلاق موظفي Capita.

وفي بعض الحالات، كانت المعلومات المسروقة حساسة، مثل تفاصيل السجلات الجنائية والبيانات المالية و”بيانات الفئة الخاصة”، والتي يمكن أن تشمل العرق والدين والتوجه الجنسي.

تم تخفيض الغرامة الأصلية المقترحة البالغة 45 مليون جنيه إسترليني بعد أن قدمت شركة Capita تأكيدات بأنها أجرت تحسينات أمنية وتعاملت مع المنظمين والمركز الوطني للأمن السيبراني، وهو جزء من GCHQ، والذي قال هذا الاسبوع ارتفع عدد الهجمات الإلكترونية ذات الأهمية الوطنية في المملكة المتحدة إلى أكثر من الضعف في العام الماضي.

ودعت الشركات من جميع الأحجام إلى وضع خطط طوارئ إذا كانت “البنية التحتية لتكنولوجيا المعلومات لديك”. [is] شلت غدا وجميع شاشاتك [go] فارغ”.

وخلص تحقيق مفوض المعلومات إلى أنه قبل الهجوم، فشلت شركة كابيتا في إصلاح نقاط الضعف المعروفة، وكان مركز عملياتها الأمنية يعاني من نقص في الموظفين، كما أنها أجرت اختبارات غير كافية للدفاعات على الرغم من الاعتناء بملايين السجلات الشخصية والحساسة في بعض الأحيان.

وقال إدواردز: “لقد فشلت شركة Capita في واجبها المتمثل في حماية البيانات التي عهد بها إليها ملايين الأشخاص”. “كان من الممكن منع حجم هذا الانتهاك وتأثيره لو تم اتخاذ الإجراءات الأمنية الكافية.

“عندما تفشل شركة بحجم كابيتا، يمكن أن تكون العواقب وخيمة. ليس فقط بالنسبة لأولئك الذين تعرضت بياناتهم للخطر – الذين أخبرنا الكثير منهم عن القلق والتوتر الذي عانوا منه – ولكن بالنسبة إلى الثقة الأوسع بين الجمهور ومن أجل ازدهارنا في المستقبل. وكما يظهر لنا، لا توجد منظمة أكبر من أن تتجاهل مسؤولياتها “.

وقال أدولفو هيرنانديز، الرئيس التنفيذي لشركة Capita: “باعتبارها منظمة تقدم خدمات عامة أساسية بالإضافة إلى الخدمات الأساسية لعملاء القطاع الخاص، كانت Capita من بين الأوائل في الموجة الأخيرة من الهجمات الإلكترونية الكبيرة للغاية على الشركات البريطانية الكبرى.

“عندما انضممت كرئيس تنفيذي بعد عام من الهجوم، قمت بتسريع عملية التحول في مجال الأمن السيبراني لدينا، من خلال قيادة رقمية وتكنولوجية جديدة واستثمارات كبيرة. ونتيجة لذلك، قمنا بتعزيز وضع الأمن السيبراني لدينا بشكل كبير، وقمنا ببناء وسائل حماية متقدمة ودمجنا ثقافة اليقظة المستمرة.”