A gigante britânica de serviços de outsourcing, Capita, foi alvo de uma multa pesada de 14 milhões de libras (cerca de 16,5 milhões de euros) por parte do Information Commissioner's Office (ICO), a autoridade de proteção de dados do Reino Unido. A sanção surge na sequência de uma falha de segurança ocorrida em 2023, que resultou na exposição dos dados pessoais de 6,6 milhões de pessoas.
A Capita é uma empresa fulcral no Reino Unido, prestando serviços a conselhos locais, ao sistema nacional de saúde (NHS), ao Ministério da Defesa e a várias organizações nos setores bancário, energético e de telecomunicações.
Um ciberataque com consequências desastrosas
Tudo começou a 22 de março de 2023, quando um funcionário descarregou um ficheiro malicioso que deu aos atacantes acesso à rede interna da empresa. Segundo o comunicado oficial do Information Commissioner's Office (ICO), embora a intrusão tenha sido detetada em apenas 10 minutos, a Capita demorou 58 horas a isolar o dispositivo infetado. Esta janela de tempo foi mais do que suficiente para os hackers se movimentarem pela rede, obterem permissões de administrador e acederem a bases de dados sensíveis.
Entre 29 e 30 de março, os atacantes conseguiram exfiltrar quase um terabyte de dados. A 31 de março, o ataque culminou com a ativação de um ransomware que bloqueou os sistemas da Capita. O grupo de ransomware Black Basta reivindicou a autoria do ciberataque, ameaçando divulgar a informação roubada. A investigação confirmou que a fuga de dados afetou 6,6 milhões de pessoas e centenas de clientes, incluindo 325 fornecedores de regimes de pensões no Reino Unido.
Falhas de segurança ditaram coima pesada
A investigação do ICO revelou várias lacunas na segurança da Capita que justificaram a multa. Entre as principais falhas apontadas estão:
Controlos de acesso deficientes, com a ausência de um modelo de contas de administração hierarquizadas.
Atraso na resposta a alertas de segurança, como evidenciado pelas 58 horas que demorou a isolar a ameaça.
Centro de Operações de Segurança com falta de pessoal.
Ausência de testes de penetração e exercícios de gestão de risco regulares.
Inicialmente, a coima proposta pelo ICO era de 45 milhões de libras (cerca de 53 milhões de euros). No entanto, o valor foi reduzido para os 14 milhões de libras depois de a Capita ter assumido a responsabilidade, implementado melhorias de segurança significativas e oferecido serviços de proteção de dados às pessoas afetadas. A multa foi dividida entre a Capita plc (8 milhões de libras) e a Capita Pension Solutions Limited (6 milhões de libras).
Adolfo Hernandez, CEO da Capita, confirmou o acordo com o ICO, sublinhando o esforço e o investimento que a empresa tem feito para reforçar a sua postura de cibersegurança desde o incidente. O executivo acrescentou que não se espera que o pagamento da multa tenha impacto nas orientações financeiras publicadas anteriormente para os investidores.
Nenhum comentário
Seja o primeiro!