Brits bedrijf krijgt 16 miljoen euro boete wegens datalek door ransomware
De Britse dienstverlener Capita heeft van de Britse privacytoezichthouder ICO een boete van omgerekend 16 miljoen euro gekregen wegens een door ransomware veroorzaakt datalek waarbij de gegevens van 6,6 miljoen personen werden gestolen. Voor sommige mensen ging het om zeer gevoelige gegevens, waaronder details over strafbladen, financiële gegevens of bijzondere persoonsgegevens. Oorspronkelijk was de ICO van plan een boete van omgerekend 52 miljoen euro op te leggen.
De aanval, die plaatsvond in 2023, begon toen er een malafide JavaScript-bestand onbedoeld op het systeem van een medewerker werd gedownload. Hoe deze download kon plaatsvinden kon Capita niet zeggen. Mogelijk ging het om een drive-by-download aanval. Vervolgens werden de Qakbot-malware en Cobalt Strike-tool op het systeem gedownload. De download van het malafide JavaScript-bestand genereerde binnen tien minuten een "high priority" beveiligingswaarschuwing bij het Security Operations Centre. Het systeem van de medewerker werd pas na 58 uur in quarantaine geplaatst. In de tussentijd kon de aanvaller verdere aanvallen uitvoeren en andere systemen compromitteren.
De aanvaller wist zijn rechten te verhogen en uiteindelijk als domain administrator in te loggen. Rond 29 en 30 maart maakte de aanvaller één terabyte aan data buit. Op 31 maart werd de ransomware door de aanvaller op de systemen van Capita uitgerold. Daarnaast werden de wachtwoorden van alle Capita-medewerkers door de aanvaller gereset, zodat die niet meer op hun systemen konden inloggen.
De ICO deed onderzoek naar de aanval en het datalek en stelde dat de beveiliging van Capita op allerlei vlakken tekort schoot. Zo had het bedrijf geen maatregelen genomen om te voorkomen dat de aanvaller zijn rechten kon verhogen en zich lateraal door het netwerk kon bewegen. Daarnaast werd er niet adequaat gereageerd op de beveiligingswaarschuwing. Dit gebeurde pas na 58 uur. Ook bleek het Security Operations Centre van Capita onderbemand. Capita liet ook geen reguliere penetratietests uitvoeren. Alleen bij de lancering vond een dergelijke test plaats en werden tijdens deze test gevonden problemen niet in de gehele organisatie opgelost, maar alleen bij de betreffende afdeling waar de test was uitgevoerd.
Oorspronkelijk was de ICO van plan om een boete van omgerekend 52 miljoen euro op te leggen. Nadat Capita op het voorgenomen boetebesluit had gereageerd en verzachtende factoren had aangetoond, besloot de toezichthouder het bedrag te verlagen. Zo had het bedrijf na de aanval allerlei verbeteringen doorgevoerd, support aan getroffen personen aangeboden en samengewerkt met andere toezichthouders en het Britse National Cyber Security Centre. Capita heeft aangegeven dat het niet tegen de boete in beroep gaat en die zal betalen.
Je zou de data er ook gewoon voor kunnen verkopen - dat levert ruim meer op dan de kosten.
Ook de eerdere 52 miljoen... Is nog steeds veel te weinig - nog geen tientje per persoon.
En de slachtoffers? Tsja, die zoeken het maar uit. Zoals altijd.
En de slachtoffers???
Ja, dat begrijp ik, de CEO en afdeling IT daar lachen zich rot.
Boete verlaagd naar éénderde van het bedrag.
€ 16 miljoen.
Voor een bedrijf dat € 2400 miljoen (2.4 miljard) waard is.
Een totaaldealtje door de rechter.
Mogen de individuele 6.6 miljoen slachtoffers ook even de rechtszaal in om de rechter toe spreken?
Persoonlijke gegevens van 1 klant (die daar niet vrijwillig zit bij die tussenpersoon) zijn volgens de rechter nog minder waard dan een maaltijdsalade uit de supermarkt.
-In april 2023 heeft het bedrijf ook al gegevens van een half miljoen pensioenhouders gelekt.
-In mei 2023 heeft het bedrijf van 90 organisaties klantgegevens gelekt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?