Управление комиссара по информации (ICO) сообщило, что компания Capita не будет обжаловать штраф в размере 14 млн фунтов стерлингов за нарушения безопасности, которые привели к утечке данных в 2023 году почти семи миллионов человек.
Регулятор по защите данных Великобритании заявил, что изначально намеревался оштрафовать аутсорсингового гиганта на 45 млн фунтов стерлингов. Однако улучшения, предпринятые компанией после атаки, поддержка пострадавших лиц и взаимодействие с другими регулирующими органами и Национальным центром кибербезопасности позволили снизить штраф на 69%.
Предыстория решения такова: в марте 2023 года сотрудник Capita непреднамеренно загрузил зловред на своё устройство после атаки злоумышленника, сотрудничающего с группой вымогателей Black Basta. Хотя «высокоприоритетное предупреждение о безопасности» было отправлено в течение десяти минут, устройство не было помещено в карантин в течение последующих 58 часов, что позволило хакерам повысить привилегии и распространиться на другие части сети.
Похищенные Black Basta данные включали пенсионные и кадровые документы, а также конфиденциальную информацию клиентов Capita, такую как сведения о судимостях и данные особых категорий, сообщили в ICO. Более половины (325) из 600 клиентов Capita Pension Solutions пострадало. В прошлом году 8000 жертв подало против виновника судебные иски.
Комиссар по информации Джон Эдвардс заявил, что инцидент можно было предотвратить, если бы были приняты «достаточные меры безопасности». А генеральный директор Capita Адольфо Эрнандес отметил «трансформацию в сфере кибербезопасности», которую компания претерпела после инцидента. По его словам, теперь там применяют передовые средства защиты и «внедряют культуру постоянной бдительности».
Между тем ICO настоятельно рекомендует организациям обеспечивать соблюдение принципов наименьших привилегий, принятие других мер, предотвращающих горизонтальное перемещение, регулярный мониторинг подозрительной активности, оперативное реагирование на оповещения, а также приоритетное инвестирование в ключевые средства контроля для обеспечения их корректной работы.
Усам Оздемиров
