Kantor Komisaris Informasi (ICO) di Inggris telah mendenda Capita, penyedia layanan proses bisnis berbasis data, sebesar £14 juta ($18,7 juta) atas insiden pelanggaran data pada tahun 2023 yang mengungkap informasi pribadi 6,6 juta orang.
Capita adalah perusahaan outsourcing dan layanan profesional besar yang berbasis di Inggris yang menyediakan layanan konsultasi, digital, dan perangkat lunak kepada dewan lokal, NHS, Kementerian Pertahanan, dan organisasi di sektor perbankan, utilitas, dan telekomunikasi.
Dengan sekitar 34.000 karyawan dan pendapatan tahunan sebesar £3 miliar, klien Capita sebagian besar berada di Inggris dan Eropa.
Ratusan penyedia program pensiun terkena dampaknya
ICO pada awalnya menetapkan denda yang jauh lebih besar sebesar £45 juta, namun badan tersebut memutuskan untuk mengurangi denda setelah perusahaan tersebut menerima tanggung jawab, menerapkan peningkatan keamanan penting, dan menawarkan layanan perlindungan data kepada individu yang terpapar.
Otoritas perlindungan data mendenda Capita plc £8 juta dan Capita Pension Solutions Limited menerima denda sebesar £6 juta.
Investigasi ICO kini telah mengkonfirmasi bahwa data yang dicuri berdampak pada 6,6 juta orang, dan ratusan klien Capita, termasuk 325 penyedia skema pensiun di Inggris.
Pada bulan April 2023, perusahaan mengumumkan bahwa aplikasi tersebut telah menjadi sasaran peretas yang mencoba mengakses lingkungan internal Microsoft 365, sehingga memaksa beberapa sistem offline sebagai bagian dari responsnya.
Pembaruan tiga minggu kemudian mengonfirmasi bahwa peretas telah mengakses 4% infrastruktur TI internal Capita, dan file pribadi yang dieksfiltrasi dihosting di sistem yang dilanggar.
Geng ransomware Black Basta mengklaim serangan itu dan mengancam akan membocorkan semua file yang dicuri kecuali perusahaan membayar uang tebusan.
Peretas memiliki akses selama 58 jam
Serangan siber terjadi pada 22 Maret 2023, ketika seorang karyawan Capita mengunduh file berbahaya yang memberikan akses kepada peretas ke jaringan internal perusahaan.
ICO berkomentar bahwa, meskipun pelanggaran terdeteksi dalam waktu 10 menit, Capita gagal mengisolasi perangkat yang terinfeksi selama 58 jam, memberikan penyerang cukup waktu untuk bergerak ke samping, menyebar di jaringan, dan mengakses database sensitif.
“File ini memungkinkan penyebaran perangkat lunak berbahaya ke jaringan Capita, memungkinkan peretas untuk tetap berada di sistem, mendapatkan izin administrator, dan mengakses area lain di jaringan,” Kantor Komisaris Informasi
“Antara tanggal 29 dan 30 Maret 2023, hampir satu terabyte data telah dieksfiltrasi. Pada tanggal 31 Maret 2023, ransomware disebarkan ke sistem Capita dan peretas menyetel ulang semua kata sandi pengguna, sehingga staf Capita tidak dapat mengakses sistem dan jaringan mereka,” kata otoritas perlindungan data Inggris.
Capita kini didenda karena kontrol akses yang buruk (tidak adanya model akun admin berjenjang), keterlambatan respons terhadap peringatan keamanan, pengoperasian Pusat Operasi Keamanan yang kekurangan staf, dan kegagalan melakukan pengujian penetrasi rutin dan latihan manajemen risiko.
CEO Capita Adolfo Hernandez diumumkan penyelesaian dengan ICO, menggarisbawahi upaya dan investasi yang telah dilakukan untuk memperkuat pendirian keamanan siber perusahaan sejak insiden tersebut.
Eksekutif juga mencatat bahwa mereka tidak memperkirakan pembayaran denda akan berdampak pada pedoman investor yang diterbitkan sebelumnya.
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
