Wpływ dwóch oddzielnych incydentów związanych z bezpieczeństwem cybernetycznym w Capita nadal się rozprzestrzenia, ponieważ coraz więcej klientów organizacji zgłasza przypadki naruszenia bezpieczeństwa danych, które prawdopodobnie dotyczy setek tysięcy – potencjalnie milionów – osób prywatnych.
Aż 90 organizacji twierdzi, że zauważyło pewien wpływ, według BBCktóry cytował zaktualizowane dane z Biura Komisarza ds. Informacji (ICO).
Wśród nich jest wiele funduszy emerytalnych, które korzystały z usługi firmy Hartlink, rzekomo bezpiecznej strony internetowej, która umożliwia ludziom zarządzanie swoimi emeryturami. Należą do nich firmy takie jak Diageo, Marks and Spencer, Royal Mail i Unilever.
Systemy Capity zostały zaatakowane pod koniec marca, powodując wielodniową przerwę w świadczeniu usług dla wielu klientów organizacji z sektora publicznego. W tamtym czasie operacja komunikacji kryzysowej firmy Capita twierdziła, że nie ma dowodów na to, że dane klientów zostały naruszone, ale teraz okazało się to nieprawdą.
Później okazało się również, że Capita przez wiele lat udostępniała poufne dane publicznemu internetowi nie udało się poprawnie skonfigurować zasobnika pamięci masowej Amazon Web Services (AWS) S3.
„Zdajemy sobie sprawę z dwóch incydentów dotyczących firmy Capita, dotyczących cyberataku w marcu oraz wykorzystania publicznie dostępnej pamięci masowej. Otrzymujemy dużą liczbę zgłoszeń od organizacji bezpośrednio dotkniętych tymi incydentami i obecnie prowadzimy dochodzenie ”- powiedział ICO w oświadczeniu.
Regulator powiedział, że nadal zachęca klientów Capita do sprawdzania ich narażenia na te incydenty i, jeśli to konieczne, do rozważenia zgłaszania naruszeń.
Organizacje są zobowiązane do powiadomienia ICO w ciągu 72 godzin od powzięcia informacji o naruszeniu ochrony danych osobowych, chyba że nie stwarza to zagrożenia dla praw lub wolności osób.
Nawet jeśli organizacja zdecyduje się nie zgłaszać naruszeń, musi prowadzić rejestr naruszeń oraz być w stanie i być przygotowana do wyjaśnienia, dlaczego tego nie zrobiła, gdyby okoliczności uległy zmianie.
ESET globalny doradca ds. bezpieczeństwa cybernetycznego, Jake Moore, powiedział, że kiedy dane osobowe zostały naruszone, naruszenia te miały znacznie większy wpływ i ostrzegł, że mogą minąć lata, zanim dokładnie wyjaśni się, co wydarzyło się w firmie Capita.
„Skutki tego ataku były brutalne i ukazują pełen zakres typowego współczesnego cyberataku” — powiedział Moore. „Wyeksponowanie wrażliwych danych może stwarzać problemy dla klientów, którzy często pozostają nieświadomi pełnego wyniku kradzieży ich informacji.
„Niezależnie od tego, czy ludzie zostali ostrzeżeni, czy nie, ludzie powinni zachować czujność w przypadku charakterystycznych następstw zagrożeń. Ludzie powinni mieć się na baczności przed potencjalną złośliwą komunikacją, nawet jeśli wydaje się to prawdopodobne i zweryfikowane z odpowiednimi danymi z powodu możliwości oszustwa i kradzieży tożsamości”.
Jamie Akhtar, dyrektor generalny i współzałożyciel firmy CyberSmartdodał: „Ta historia może stać się jednym z najlepszych przykładów zagrożeń bezpieczeństwa cybernetycznego stwarzanych przez łańcuchy dostaw… Jeśli jesteś częścią łańcucha dostaw, cyberprzestępcy prędzej czy później będą próbowali cię obrać za cel — możliwość spowodowania zakłóceń lub kradzieży ważne dane są zbyt dobre, by je przepuścić.
„Apelujemy więc do firm każdej wielkości, aby zastanowiły się nad swoim łańcuchem dostaw i związanym z nim ryzykiem. Jeśli nie masz pewności, od czego zacząć, wytyczne NCSC dotyczące „mapowania łańcucha dostaw”. jest świetnym punktem wyjścia”.