Capita została ukarana grzywną w wysokości 14 milionów funtów za brak zabezpieczenia danych osobowych, co doprowadziło do kradzieży informacji milionów ludzi po Cyberatak ransomware Black Basta w marcu 2023 r.
Biuro Komisarza ds. Informacji (ICO), które nałożyło karę, stwierdziło, że naruszenie bezpieczeństwa danych dotknęło sześć milionów osób, w wyniku których skradziono informacje, w tym dokumentację emerytalną i kadrową oraz dane klientów Capita.
Koszt naruszenia dla firmy Capita może wzrosnąć, ponieważ tysiące osób, których to dotyczy, są zaangażowane w działania prawne przeciwko dostawcy usług outsourcingowych.
The incydent spowodował poważne awarie IT i wywarło znaczący wpływ na obsługę klienta w wielu organach sektora publicznego i u niektórych operatorów krajowej infrastruktury krytycznej w Wielkiej Brytanii, w związku z czym pracownicy nie mogli odbierać połączeń od obywateli, a inni korzystali z tradycyjnego pióra i papieru. ICO stwierdziło, że naruszenie danych dotknęło łącznie 325 organizacji będących klientami Capita.
ICO nałożyła na Capita plc karę w wysokości 8 milionów funtów i 6 milionów funtów na Capita Pension Solutions za niezapewnienie bezpieczeństwa przetwarzania danych osobowych, co naraziło ją na znaczne ryzyko. Dodała, że firma nie posiadała „odpowiednich środków technicznych i organizacyjnych”, aby skutecznie zareagować.
Reklama
Brytyjski komisarz ds. informacji John Edwards powiedział: “Capita nie dopełniła swojego obowiązku ochrony danych powierzonych jej przez miliony ludzi. Skali tego naruszenia i jego skutkom można było zapobiec, gdyby zastosowano wystarczające środki bezpieczeństwa.
“Kiedy firma wielkości Capity zawodzi, konsekwencje mogą być znaczące. Nie tylko dla tych, których dane zostały naruszone – z których wielu powiedziało nam o niepokojach i stresie, których doświadczyli – ale także dla szerszego zaufania społeczeństwa i dla naszego przyszłego dobrobytu. Jak pokazuje nasza grzywna, żadna organizacja nie jest zbyt duża, aby zignorować swoje obowiązki. “
Ta kara i nasilające się postępowania sądowe powinny pobudzić każdą firmę, która nadal gra szybko i luźno z danymi swoich klientów
Adnan Malik, Prawo Baringsa
ICO początkowo planowało nałożyć na Capitę karę w wysokości 45 milionów funtów, ale kara została zmniejszona po przedłożeniu przez firmę oświadczeń i uwzględnieniu czynników łagodzących, w tym ulepszeń wprowadzonych po ataku, wsparcia oferowanego osobom dotkniętym atakiem oraz współpracy z innymi organami regulacyjnymi.
Atak rozpoczął się w momencie niezamierzonego pobrania szkodliwego pliku na urządzenie pracownika. Niepoddanie urządzenia przez firmę Capita 58-godzinnej kwarantannie oznaczało, że atakujący mógł wykorzystać jego systemy.
Adnan Malik, szef ochrony danych w firmie Barings Law, która podejmuje się tego przedsięwzięcia podjęcie kroków prawnych w imieniu tysięcy dotkniętych osób przeciwko Capita, stwierdził, że kara ICO stanowi mniej niż 1% rocznych przychodów Capita, które w ubiegłym roku przekroczyły 2 miliardy funtów.
„Niewiele pomaga to naprawienie szkód spowodowanych nieodpowiednimi procedurami firmy w zakresie bezpieczeństwa cybernetycznego, które doprowadziły do utraty bardzo wrażliwych danych, w tym dokumentacji dotyczącej świadczeń i emerytur” – dodał Malik.
Grzywna ICO jest odrębna od działań prawnych Barings Law przeciwko Capita i nie zmienia niczego w jej bieżących roszczeniach” – dodał Malik. „W każdym razie spodziewalibyśmy się, że oznacza to szybszy rozwój naszej sprawy”.
Powiedział, że coraz częściej dochodzi do naruszeń danych wobec dużych firm, które mają niezwykle szkodliwy wpływ na finanse, prywatność i zaufanie ludzi. „Ta kara i narastające postępowania prawne powinny pobudzić każdą firmę, która nadal szybko i swobodnie wykorzystuje dane swoich klientów”.
Na początku tego tygodnia Apple zaprezentowało trzy nowe produkty z chipem M5, zbudowanym w procesie 3 nm trzeciej generacji. Chociaż obecnie jest to...
