O órgão regulador de dados do Reino Unido multou a empresa de outsourcing Capita em £14 milhões após o roubo de dados pessoais de 6,6 milhões de pessoas em um ataque cibernético.
A Information Commissioner’s Office (ICO) afirmou que a Capita "falhou em garantir a segurança no processamento dos dados pessoais, expondo-os a um risco significativo".
Inicialmente, a multa foi fixada em £45 milhões, mas foi reduzida após negociações entre a empresa e a autoridade reguladora.
O CEO da Capita, Adolfo Hernandez, declarou que a empresa está "satisfeita por ter encerrado essa questão e chegado ao acordo atual". Segundo ele, a companhia "reforçou consideravelmente" sua resiliência em cibersegurança e mantém vigilância constante.
A Capita oferece serviços profissionais e outsourcing para os setores público e privado, tendo registrado receita de £2,4 bilhões no último ano, conforme seu relatório anual.
Após o incidente, em março de 2023, ficou claro que a empresa havia deixado um grande volume de dados expostos online, sem proteção adequada. Informações, que incluíam endereços residenciais e imagens de passaportes, começaram a circular na dark web.
Segundo a ICO, dados financeiros foram roubados e, em alguns casos, detalhes de registros criminais também foram comprometidos.
A Capita também administra a gestão de mais de 600 fundos de pensão, dos quais 325 foram afetados pelo vazamento.
"Capita falhou em sua obrigação de proteger os dados confiados a ela por milhões de pessoas", afirmou o Comissário de Informação John Edwards. "A dimensão dessa violação e seu impacto poderiam ter sido evitados se medidas de segurança adequadas fossem implementadas."
A multa original de £45 milhões foi reduzida para £14 milhões depois que a Capita demonstrou melhorias na segurança cibernética, ofereceu suporte às pessoas afetadas e colaborou com outros reguladores e o National Cyber Security Centre (NCSC).
Este ano, a rede varejista Co-op também foi vítima de um ataque que resultou no vazamento dos dados de aproximadamente 6,5 milhões de clientes. Outros alvos de ataques cibernéticos de grande repercussão incluem M&S, Harrods e Jaguar Land Rover.
Na última terça-feira, o NCSC confirmou um aumento nos ataques de relevância nacional em 2024.
Em resposta, o governo emitiu orientações para líderes empresariais em todo o país, recomendando que mantenham seus planos de contingência registrados em papel, caso percam acesso aos sistemas durante um ataque.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...