تم تغريم شركة Capita مبلغ 14 مليون جنيه إسترليني لفشلها في تأمين البيانات الشخصية، مما أدى إلى سرقة معلومات الملايين من الأشخاص بعد عملية قرصنة. الهجوم السيبراني لبرنامج الفدية Black Basta في مارس 2023.
وقال مكتب مفوض المعلومات (ICO)، الذي فرض الغرامة، إن ستة ملايين شخص تأثروا بخرق البيانات، مع سرقة المعلومات بما في ذلك سجلات التقاعد والموظفين وتفاصيل عملاء كابيتا.
يمكن أن ترتفع تكلفة الانتهاك التي تتحملها شركة Capita لأن الآلاف من الأفراد المتضررين متورطون في إجراءات قانونية ضد مزود خدمات الاستعانة بمصادر خارجية.
ال تسبب الحادث في انقطاع كبير في تكنولوجيا المعلومات وكان لها تأثير كبير على الخدمات التي تواجه العملاء في العديد من هيئات القطاع العام وبعض مشغلي البنية التحتية الوطنية الحيوية في جميع أنحاء المملكة المتحدة، مع ترك الموظفين غير قادرين على الرد على المكالمات من أفراد الجمهور وغيرهم من اللجوء إلى القلم والورقة التقليدية. وقال ICO إن ما مجموعه 325 منظمة، من عملاء Capita، تأثرت بخرق البيانات.
فرضت ICO غرامة على شركة Capita plc بقيمة 8 ملايين جنيه إسترليني وشركة Capita Pension Solutions على 6 ملايين جنيه إسترليني لفشلها في ضمان أمان معالجة البيانات الشخصية، مما جعلها معرضة لخطر كبير. وأضافت أن الشركة لم يكن لديها “الإجراءات الفنية والتنظيمية المناسبة” للاستجابة بفعالية.
وقال مفوض المعلومات في المملكة المتحدة جون إدواردز: “لقد فشلت شركة كابيتا في واجبها المتمثل في حماية البيانات التي عهد بها إليها ملايين الأشخاص. وكان من الممكن منع حجم هذا الانتهاك وتأثيره لو تم اتخاذ تدابير أمنية كافية”.
“عندما تفشل شركة بحجم كابيتا، يمكن أن تكون العواقب وخيمة. ليس فقط بالنسبة لأولئك الذين تعرضت بياناتهم للخطر – الذين أخبرنا الكثير منهم عن القلق والتوتر الذي عانوا منه – ولكن بالنسبة إلى الثقة الأوسع بين الجمهور ومن أجل ازدهارنا في المستقبل. وكما يظهر لنا، لا توجد منظمة أكبر من أن تتجاهل مسؤولياتها. “
يجب أن تكون هذه الغرامة والإجراءات القانونية المتصاعدة بمثابة دعوة للاستيقاظ لأي شركة لا تزال تتلاعب ببيانات عملائها بسرعة.
عدنان مالك، قانون بارينجز
خطط ICO في البداية لتغريم شركة Capita مبلغ 45 مليون جنيه إسترليني، ولكن تم تخفيض الغرامة بعد أن قدمت الشركة إقرارات وعوامل مخففة، بما في ذلك التحسينات التي أدخلتها في أعقاب الهجوم، والدعم المقدم للأفراد المتضررين والمشاركة مع المنظمين الآخرين.
بدأ الهجوم عندما تم تنزيل ملف ضار عن غير قصد على جهاز أحد الموظفين. ويعني فشل Capita في عزل الجهاز لمدة 58 ساعة أن المهاجم كان قادرًا على استغلال أنظمته.
عدنان مالك، رئيس قسم حماية البيانات في شركة Barings Law، التي تتعهد اتخاذ إجراءات قانونية نيابة عن الآلاف من الأفراد المتضررين ضد Capita، قال إن غرامة ICO تمثل أقل من 1٪ من إيرادات Capita السنوية، والتي تجاوزت العام الماضي 2 مليار جنيه إسترليني.
وأضاف مالك: “إنها لا تفعل الكثير لتصحيح الأضرار الناجمة عن إجراءات الأمن السيبراني غير الكافية للشركة، والتي أدت إلى فقدان بيانات حساسة للغاية، بما في ذلك سجلات الفوائد والمعاشات التقاعدية”.
وأضاف مالك: “إن غرامة ICO منفصلة عن الإجراء القانوني الذي اتخذته شركة Barings Law ضد شركة Capita، ولا تغير شيئًا بشأن مطالبتها المستمرة. “إذا كان هناك أي شيء، فإننا نتوقع أن هذا سيعني أن قضيتنا تتقدم بسرعة أكبر.”
وقال إن هناك خروقات متزايدة للبيانات ضد الشركات الكبرى، مما يضر بشكل لا يصدق بأموال الناس وخصوصيتهم وثقتهم. “يجب أن تكون هذه الغرامة والإجراءات القانونية المتزايدة بمثابة دعوة للاستيقاظ لأي شركة لا تزال تتلاعب ببيانات عملائها بسرعة.”
