英國資訊專員辦公室 (ICO) 對資料驅動業務流程服務提供商 Capita 處以 1,400 萬英鎊（1,870 萬美元）的罰款，原因是該公司在 2023 年發生了一起資料外洩事件，洩露了 660 萬人的個人資訊。

Capita 是一家主要的英國外包和專業服務公司，為地方議會、NHS、國防部以及銀行、公用事業和電信業的組織提供諮詢、數位和軟體服務。Capita擁有約 34,000 名員工，年收入達 30 億英鎊。由於其業務性質，Capita 掌握著大量英國公眾和企業客戶的敏感資料。

這起網路攻擊始於 2023 年 3 月 22 日，Capita 的一名員工下載了一個惡意文件，使駭客能夠存取公司的內部網路。這個文件使得惡意軟體能夠部署到 Capita 網路中，讓駭客得以留在系統內，獲得管理員權限，並存取網路的其他區域。2023 年 4 月，該公司宣布遭到駭客攻擊，駭客試圖存取其內部 Microsoft 365 環境，三週後的最新消息證實，駭客已經訪問了 Capita 4% 的內部 IT 基礎設施，並竊取了受感染系統上託管的私人文件。隨後，勒索軟體組織 Black Basta 聲稱對此次攻擊負責，並威脅要洩露所有竊取的檔案，除非 Capita 支付贖金。

ICO 對此事件的調查確認，被竊取的資料影響了 660 萬人，以及數百個 Capita 客戶，其中包括英國 325 個退休金計畫提供者。ICO 嚴厲指出 Capita 在安全響應方面的嚴重失職，儘管在 10 分鐘內就檢測到了漏洞，但 Capita 未能在接下來的 58 小時內隔離受感染的設備，這給了攻擊者充足的時間進行橫向移動、在網路上傳播並訪問敏感資料庫。在 2023 年 3 月 29 日至 30 日期間，駭客從系統中竊取了近一太位元組 (terabyte) 的資料。3 月 31 日，駭客在 Capita 系統上部署了勒索軟體，並重置了所有使用者密碼，阻止 Capita 員工存取其系統和網路。

ICO 的調查結果顯示，Capita 因多項安全缺失而被罰款，包括存取控制不佳（缺乏分層管理員帳戶模型）、對安全警報響應延遲、安全營運中心 (SOC) 人員配置不足，以及未能定期執行滲透測試和風險管理演習。

ICO 最初對 Capita 設定了更高的罰款金額，但在該公司接受責任、實施重要的安全改進，並向受影響個人提供資料保護服務後，決定減少罰款。ICO 將罰款分為兩部分，Capita plc 被處以 800 萬英鎊的罰款，Capita Pension Solutions Limited 被處以 600 萬英鎊的罰款。Capita 執行長 Adolfo Hernandez 宣布了與 ICO 的和解，強調了自事件發生以來為加強公司網路安全態勢所做的努力和投資。執行長也指出，他們預計支付罰款不會影響先前公布的投資者指南。這起事件成為對所有大型服務供應商的嚴厲警示，突顯了即使是短暫的漏洞和回應延遲，也可能導致大規模的個人資訊洩露和巨額罰款。

資料來源：https://www.bleepingcomputer.com/news/security/capita-to-pay-14-million-for-data-breach-impacting-66-million-people/