英國(guó)公共服務(wù)外包巨頭 Capita plc 因 2023 年發(fā)生的重大網(wǎng)絡(luò)安全漏洞，近日被英國(guó)信息專員辦公室（ICO）處以 1400 萬(wàn)英鎊（約 1.34 億元人民幣）罰款。

據(jù) ICO 的調(diào)查報(bào)告，2023 年 3 月，Capita 的一名員工在工作設(shè)備上意外打開(kāi)了惡意文件，使黑客得以侵入公司內(nèi)部網(wǎng)絡(luò)。

雖然公司在數(shù)分鐘內(nèi)檢測(cè)到異常，但花費(fèi)了近 58 小時(shí)才徹底隔離受感染系統(tǒng)。

這一延遲讓攻擊者有機(jī)會(huì)滲透網(wǎng)絡(luò)。

黑客部署勒索軟件，要求贖金，并聲稱已下載了超過(guò) 1 TB 內(nèi)部數(shù)據(jù)。

泄露信息涉及達(dá) 660 萬(wàn)人。

其中包含：

1）Capita 員工與前雇員的個(gè)人資料；

2）其承接的 325 個(gè)養(yǎng)老金計(jì)劃參保人的姓名、出生日期、住址、財(cái)務(wù)數(shù)據(jù)；

3）含“特殊類別數(shù)據(jù)”的敏感信息，如種族、宗教信仰、健康狀況及刑事記錄。

4）受影響者包括多個(gè)地方政府部門(mén)、教育機(jī)構(gòu)、NHS 及私人企業(yè)的員工。

Capita 直到被攻擊兩天后才完全隔離被感染的網(wǎng)絡(luò)節(jié)點(diǎn)，錯(cuò)失了阻止黑客進(jìn)一步擴(kuò)散的關(guān)鍵時(shí)間窗口。

ICO 認(rèn)為，這一系列失誤直接導(dǎo)致了數(shù)據(jù)大規(guī)模泄露。

事件爆發(fā)后，Capita 曾一度雇用外部網(wǎng)絡(luò)安全公司 CrowdStrike 與 Microsoft Security Response 團(tuán)隊(duì)介入調(diào)查。

ICO 最初擬對(duì) Capita 處以 4500 萬(wàn)英鎊巨額罰款，但評(píng)估公司后續(xù)的補(bǔ)救行動(dòng)后予以減輕。在最終 1400 萬(wàn)英鎊罰款中，Capita plc 需承擔(dān) 800 萬(wàn)英鎊；其養(yǎng)老金子公司 Capita Pension Solutions 另付 600 萬(wàn)英鎊。

Capita表示接受罰款結(jié)果，不會(huì)提出上訴。

Capita 在此事件后曾面臨巨額損失。公司在次年財(cái)報(bào)中披露，網(wǎng)絡(luò)攻擊及修復(fù)費(fèi)用約 2000 萬(wàn)（1.91 億元人民幣）至 2500 萬(wàn)英鎊（2.4 億元人民幣），并造成部分合同流失。

近年來(lái)，英國(guó)已有多家知名企業(yè)因數(shù)據(jù)安全漏洞被罰，包括：

1）英國(guó)航空 2020 年被罰 2000 萬(wàn)英鎊；

2）Marriott 酒店集團(tuán)被罰 1800 萬(wàn)英鎊；

3）Tuckers Solicitors 律所被罰 98 萬(wàn)英鎊。

Capita 事件成為英國(guó)《通用數(shù)據(jù)保護(hù)條例》（UK GDPR）實(shí)施以來(lái)最具警示性的案例之一。正如英國(guó)信息專員 Edwards 所言：“一次漏洞可能讓企業(yè)的信譽(yù)坍塌。數(shù)據(jù)保護(hù)，永遠(yuǎn)不是可以事后補(bǔ)救的事?！?/p>

云頭條聲明：如以上內(nèi)容有誤或侵犯到你公司、機(jī)構(gòu)、單位或個(gè)人權(quán)益，請(qǐng)聯(lián)系我們說(shuō)明理由，我們會(huì)配合，無(wú)條件刪除處理。