A brit Információs Biztos Hivatala (ICO) 14 millió font (18,7 millió dollár) pénzbírságot szabott ki a Capita nevű, adatvezérelt üzleti folyamatokat szolgáltató cégre egy 2023-as adatvédelmi incidens miatt, amely során mintegy 6,6 millió ember személyes adatai kerültek veszélybe.
A Capita bemutatása és tevékenységi köre
A Capita egy jelentős, Egyesült Királyságban működő kiszervezési és professzionális szolgáltatásokat nyújtó vállalat, amely tanácsadói, digitális és szoftverfejlesztési szolgáltatásokat kínál helyi önkormányzatoknak, az NHS-nek (Nemzeti Egészségügyi Szolgálat), a Védelmi Minisztériumnak, valamint banki, közmű- és távközlési szektorban működő szervezeteknek.
Körülbelül 34 000 alkalmazottal és évi 3 milliárd font bevétellel a Capita ügyfelei főként az Egyesült Királyságban és Európában találhatók.
Az incidens hatása: több millió érintett és számos nyugdíjterv-szolgáltató
Az ICO vizsgálata megerősítette, hogy a lopott adatok 6,6 millió embert érintenek, valamint több száz Capita ügyfelet, köztük 325 brit nyugdíjprogram-szolgáltatót.
A hatóság eredetileg 45 millió fontos bírságot szabott volna ki, azonban a büntetés csökkentésére került sor, mivel a cég elismerte a felelősségét, jelentős biztonsági fejlesztéseket vezetett be, továbbá adatvédelmi szolgáltatásokat ajánlott fel az érintetteknek.
Az ICO két különálló bírságot szabott ki: Capita plc-re 8 millió fontot, míg Capita Pension Solutions Limited-re 6 millió fontot.
A kibertámadás részletei és következményei
2023 áprilisában a Capita bejelentette, hogy hackertámadás érte belső Microsoft 365 környezetét. A támadás miatt egyes rendszereket le kellett állítani a védekezés részeként.
Körülbelül három héttel később megerősítették, hogy a támadók hozzáfértek a vállalat belső IT infrastruktúrájának mintegy 4%-ához és kiszivárogtattak privát fájlokat a feltört rendszerekről.
A támadást a Black Basta zsarolóvírus-csoport vállalta magára, akik zsarolással fenyegetőztek: vagy váltságdíjat fizet a cég, vagy minden ellopott fájlt nyilvánosságra hoznak.
A támadás menete és az ICO megállapításai
- Március 22., 2023: Egy Capita alkalmazott letöltött egy rosszindulatú fájlt, amely lehetővé tette a hackerek számára a belső hálózatba való behatolást.
- Becslések szerint: Az incidens észlelése után is eltelt 58 óra, mire az érintett eszközt izolálták – ez idő alatt a támadók szabadon mozoghattak és további érzékeny adatokat szerezhettek meg.
- Március vége: Közel egy terabájt adat került kiszivárogtatásra március 29. és 30. között.
- Március 31.: Zsarolóvírus került telepítésre a rendszerekre; minden felhasználói jelszót visszaállítottak, így a dolgozók nem fértek hozzá rendszerekhez.
Az ICO kiemelte: az incidens során hiányzott egy rétegzett adminisztrátori jogosultsági modell, késlekedtek a biztonsági riasztások kezelésével, alulméretezett volt a Biztonsági Műveleti Központ (SOC), valamint nem végeztek rendszeres behatolás-tesztelést és kockázatkezelési gyakorlatokat.
A Capita válasza és további lépések
Adolfo Hernandez, a Capita vezérigazgatója bejelentette az ICO-val kötött egyezséget. Kiemelte az elmúlt időszakban tett erőfeszítéseket és beruházásokat cégük kibervédelmi helyzetének megerősítésére.
A vezető hangsúlyozta továbbá, hogy a bírság kifizetése nem fogja befolyásolni korábban közzétett befektetői iránymutatásaikat.
Záró gondolatok: tanulságok és jövőbeli kockázatok
A Capita esete jól mutatja, milyen súlyos következményekkel járhat egy adatvédelmi incidens egy nagyvállalat életében. A megfelelő hozzáférés-kezelés hiánya és az elhúzódó reagálás lehetőséget adott a támadóknak arra, hogy jelentős mennyiségű érzékeny adatot szerezzenek meg.
Ezzel párhuzamosan érdemes megjegyezni egy másik friss kutatási eredményt is: a jelszófeltörések aránya az IT környezetekben tavalyhoz képest majdnem megduplázódott (25%-ról 46%-ra nőtt). Ez is rámutat arra, hogy milyen fontos az erős védelem kialakítása minden szinten.
Töltse le most a Picus Blue Report 2025-öt, amely átfogó képet ad az adatvédelmi megelőzésről, felismerésről és az adatszivárgási trendekről!