Naruszenie per capita: 90 organizacji zgłasza naruszenia ochrony danych organom nadzorującym

Według organu nadzorującego prywatność około 90 organizacji zgłosiło naruszenia danych osobowych przechowywanych przez giganta outsourcingu Capita.

Firma padła ofiarą cyberataku w marcu tego roku, a następnie ujawniono, że Capita pozostawił w Internecie garść niezabezpieczonych danych.

Setki tysięcy ludzi zostało ostrzeżonych, że mogą zostać dotknięci atakiem hakerskim

Capita twierdzi, że podjęła kroki w celu zabezpieczenia danych.

Do tej pory około 90 organizacji kontaktowało się w sprawie Capita, powiedział Information Commissioners Office (ICO), organ nadzorujący dane i prywatność.

„Otrzymujemy dużą liczbę raportów od organizacji bezpośrednio dotkniętych tymi incydentami i obecnie prowadzimy dochodzenie” – powiedział ICO.

Capita jest używana przez wiele organizacji publicznych i prywatnych, które przetwarzają dane osobowe milionów ludzi.

Kilka korporacyjnych programów emerytalnych zarządza płatnościami za pośrednictwem Capita, a ich klientami są również zarządy.

Per capita napotyka dwa problemy. Pierwszym był cyberatak na początku tego roku, a następnie w maju, kiedy pojawiła się wiadomość, że Capita zostawił odblokowane repozytorium plików online.

„Capita nadal ściśle współpracuje z wyspecjalizowanymi doradcami i ekspertami medycyny sądowej w celu zbadania incydentu cybernetycznego i podjęliśmy szeroko zakrojone kroki w celu odzyskania i zabezpieczenia danych” – powiedziała firma.

Badacz bezpieczeństwa Kevin Beaumont powiedział BBC, że pierwszy incydent, co do którego jest „bardzo przekonany”, był atakiem ransomware, był znaczący ze względu na zakres potencjalnie zagrożonych danych, które mogłyby narazić ofiary na oszustwa.

Beaumont zaalarmował Capitę o drugim problemie, który pozostawił niezabezpieczone pliki w Internecie, w kwietniu, ale został upubliczniony dopiero w następnym miesiącu.

ICO zachęca organizacje do sprawdzania, czy dane osobowe będące w ich posiadaniu zostały naruszone w wyniku ataku lub ujawnienia danych.

Dane osobowe definiuje się jako informacje, które odnoszą się do konkretnej osoby lub które można wykorzystać do identyfikacji osoby – takie jak imię i nazwisko lub adres.

Organizacje muszą powiadomić ICO w ciągu 72 godzin od uzyskania informacji o naruszeniu ochrony danych osobowych, chyba że stanowi ono zagrożenie dla praw i wolności osób.

Cyberatak w marcu dotknął szereg funduszy emerytalnych, które korzystały z systemu Capita o nazwie Hartlink.

Universities Pension Fund (USS), główny fundusz emerytalny uniwersytetów w Wielkiej Brytanii, wysyła pisma do wszystkich 500 000 swoich członków, aby poinformować ich, że ich dane są zagrożone.

„Niektóre z twoich danych osobowych są przechowywane na serwerach komputerowych Capita, do których hakerzy uzyskali dostęp na początku tego roku” – ostrzega odbiorców list, do którego dotarło BBC.

Dane osobowe zostały „uzyskane i/lub skopiowane” przez hakerów, z „Twoim nazwiskiem, inicjałami, imieniem, datą urodzenia, numerem ubezpieczenia społecznego, numerem członkowski USS i datą przejścia na emeryturę” podanymi w liście.

Mówi się, że odbiorcy mieli 12 miesięcy na korzystanie z usługi obsługiwanej przez Experian, firmę oceniającą zdolność kredytową, która pomaga „wykrywać możliwe nadużycia danych osobowych”.

Dr Eleanor Darragh, starszy pracownik naukowy na Uniwersytecie w Cambridge, była jedną z osób, które otrzymały list z ostrzeżeniem.

„Całe moje życie zawodowe było przede mną, a moje dane osobowe i emerytalne są teraz na wolności na zawsze” – powiedziała.

Martwiła się, że dane mogą być powiązane z innymi informacjami na jej temat i powiedziała, że ​​oferta usług Experian „nie była rozwiązaniem, to zniewaga”.

Dodała, że ​​wielu jej kolegów akademickich dyskutowało o możliwości podjęcia kroków prawnych w związku z tym, co się stało.

Capita powiedział BBC: „Pracowaliśmy szybko, aby zapewnić naszym klientom informacje, zapewnienie i wsparcie, jednocześnie prezentując się im jako firma.

„W przypadkach, w których musimy zapewnić większe wsparcie osobom dotkniętym chorobą, zrobimy to”.

Stwierdzono, że dane ujawnione online w drugim incydencie „były bezpieczne i nie można już uzyskać do nich dostępu, a nasze dochodzenie w tej sprawie jest w toku”.