英国公共服务外包巨头 Capita plc 因 2023 年发生的重大网络安全漏洞,近日被英国信息专员办公室(ICO)处以 1400 万英镑(约 1.34 亿元人民币)罚款。
据 ICO 的调查报告,2023 年 3 月,Capita 的一名员工在工作设备上意外打开了恶意文件,使黑客得以侵入公司内部网络。
虽然公司在数分钟内检测到异常,但花费了近 58 小时才彻底隔离受感染系统。
这一延迟让攻击者有机会渗透网络。
黑客部署勒索软件,要求赎金,并声称已下载了超过 1 TB 内部数据。
泄露信息涉及达 660 万人。
其中包含:
1)Capita 员工与前雇员的个人资料;
2)其承接的 325 个养老金计划参保人的姓名、出生日期、住址、财务数据;
3)含“特殊类别数据”的敏感信息,如种族、宗教信仰、健康状况及刑事记录。
4)受影响者包括多个地方政府部门、教育机构、NHS 及私人企业的员工。
Capita 直到被攻击两天后才完全隔离被感染的网络节点,错失了阻止黑客进一步扩散的关键时间窗口。
ICO 认为,这一系列失误直接导致了数据大规模泄露。
事件爆发后,Capita 曾一度雇用外部网络安全公司 CrowdStrike 与 Microsoft Security Response 团队介入调查。
ICO 最初拟对 Capita 处以 4500 万英镑巨额罚款,但评估公司后续的补救行动后予以减轻。在最终 1400 万英镑罚款中,Capita plc 需承担 800 万英镑;其养老金子公司 Capita Pension Solutions 另付 600 万英镑。
Capita表示接受罚款结果,不会提出上诉。
Capita 在此事件后曾面临巨额损失。公司在次年财报中披露,网络攻击及修复费用约 2000 万(1.91 亿元人民币)至 2500 万英镑(2.4 亿元人民币),并造成部分合同流失。
近年来,英国已有多家知名企业因数据安全漏洞被罚,包括:
1)英国航空 2020 年被罚 2000 万英镑;
2)Marriott 酒店集团被罚 1800 万英镑;
3)Tuckers Solicitors 律所被罚 98 万英镑。
Capita 事件成为英国《通用数据保护条例》(UK GDPR)实施以来最具警示性的案例之一。正如英国信息专员 Edwards 所言:“一次漏洞可能让企业的信誉坍塌。数据保护,永远不是可以事后补救的事。”
云头条声明:如以上内容有误或侵犯到你公司、机构、单位或个人权益,请联系我们说明理由,我们会配合,无条件删除处理。
热门跟贴