Capita因2023年网络攻击中的数据保护失职被罚款1400万英镑

黑客窃取了660万人的个人信息，但这家外包公司未在58小时内关闭受攻击设备

罗伯特·布思｜英国科技版编辑
2025年10月15日 10:13 BST
最后修改于2025年10月16日 05:09 BST

外包公司Capita因数据保护失职被处以1400万英镑罚款，此前黑客窃取了660万人的个人信息，包括员工及其客户客户的详细信息。

英国信息监管局局长约翰·爱德华兹负责执行此项罚款，他表示2023年3月从该集团及其支持的公司（包括325家养老金提供商）窃取数据的行为给受影响者带来了焦虑和压力。

对Capita的800万英镑罚款及其子公司Capita Pension Solutions的600万英镑罚款之际，英国企业正面临近期一波网络攻击的冲击，玛莎百货和捷豹路虎等公司已因此陷入瘫痪。

Capita在10分钟内发现了攻击，但未在58小时内关闭被恶意文件攻击的设备，在此期间攻击者得以利用其系统。黑客窃取了近1TB数据，安装了勒索软件并重置所有用户密码，将Capita员工锁定在系统之外。

在某些情况下，被盗信息属于敏感信息，例如犯罪记录详情、财务数据以及"特殊类别数据"（可能包括种族、宗教和性取向）。

最初拟议的4500万英镑罚款在经过Capita陈述已进行安全改进并与监管机构及国家网络安全中心（GCHQ下属机构）合作后被削减。该中心本周表示，过去一年英国境内具有国家重大意义的网络攻击数量增加了一倍以上。

它呼吁各种规模的企业制定应急计划，以应对"明天IT基础设施瘫痪且所有屏幕变黑"的情况。

信息监管局的调查发现，在攻击发生前，Capita未能修复已知漏洞，其安全运营中心人手不足，且尽管管理着数百万条个人记录（有时是敏感记录），却未对防御措施进行充分测试。

“Capita未能履行保护数百万人托付数据的职责，“爱德华兹表示。“如果采取了充分的安全措施，本可以避免此次泄露的规模及其影响。”

“当像Capita这样规模的公司失职时，后果可能很严重。不仅对数据被泄露的人（许多人向我们讲述了他们遭受的焦虑和压力），而且对公众的广泛信任以及我们未来的繁荣都是如此。正如我们的罚款所示，没有哪个组织规模大到可以忽视其责任。”

Capita首席执行官阿道夫·埃尔南德斯表示：“作为提供基本公共服务以及私营部门客户关键服务的组织，Capita是近期英国大公司遭受重大网络攻击浪潮中的首批受害者之一。”

“我在攻击后次年加入担任CEO时，加速了我们的网络安全转型，任命了新的数字和技术领导层并进行了大量投资。因此，我们极大地加强了网络安全态势，建立了高级保护措施并植入了持续警惕的文化。”