ICO因勒索软件导致重大数据泄露对Capita罚款1400万英镑

外包巨头因2023年网络攻击被处以1400万英镑罚款，但随着法律诉讼的持续，相关成本可能进一步上升

作者：Karl Flinders，EMEA地区首席记者兼高级编辑
发布时间：2025年10月15日 15:46

Capita因未能保护个人数据被罚款1400万英镑，该安全漏洞导致在2023年3月遭受Black Basta勒索软件网络攻击后，数百万人的信息被盗。

实施罚款的信息专员办公室（ICO）表示，此次数据泄露影响了600万人，被盗信息包括养老金记录、员工档案以及Capita客户的详细信息。由于数千名受影响个人正在对该外包服务提供商采取法律行动，此次泄露事件给Capita带来的成本可能会增加。

这次网络攻击随后被Black Basta勒索软件组织认领，该组织在其暗网泄露网站上列出了Capita，并发布了看似从其系统中窃取的文件，包括客户信息。该事件导致重大IT中断，并对英国许多公共部门机构和部分关键国家基础设施运营商的面向客户服务产生了严重影响，工作人员无法接听公众电话，其他人则不得不退回到传统的纸笔操作。ICO表示，共有325家Capita客户组织受到此次数据泄露的影响。

ICO对Capita plc罚款800万英镑，对Capita Pension Solutions罚款600万英镑，原因是其未能确保个人数据处理的安全性，使其面临重大风险。ICO补充称，该公司没有"适当的技术和组织措施"来有效应对。

英国信息专员John Edwards表示：“Capita未能履行保护数百万人托付给它的数据的职责。如果具备足够的安全措施，本可以避免此次泄露的规模及其影响。当像Capita这样规模的公司出现失误时，后果可能非常严重。不仅对数据被泄露的人——其中许多人告诉我们他们遭受的焦虑和压力——而且对公众的广泛信任以及我们未来的繁荣都是如此。正如我们的罚款所示，没有哪个组织规模大到可以忽视其责任。”

ICO最初计划对Capita罚款4500万英镑，但在该企业提交陈述和减轻因素后，罚款金额得以降低，这些因素包括其在攻击后进行的改进、向受影响个人提供的支持以及与其他监管机构的合作。

攻击始于一名员工的设备无意中下载了一个恶意文件。Capita未能在58小时内隔离该设备，使得攻击者能够利用其系统。

Capita首席执行官Adolfo Hernandez表示：“我在攻击发生后的第二年加入公司担任CEO时，加速了我们的网络安全转型，任命了新的数字和技术领导层并进行了大量投资。因此，我们极大地加强了网络安全态势，内置了高级保护措施，并嵌入了持续警惕的文化。经过过去两年与ICO的长期对话，我们很高兴能够了结此事并达成今天的和解。”

代表数千名受影响个人对Capita采取法律行动的Barings Law数据保护主管Adnan Malik表示，ICO的罚款不到Capita年收入的1%，后者去年超过20亿英镑。“这几乎无法弥补该公司网络安全程序不足所造成的损害，这些程序导致高度敏感数据的丢失，包括福利和养老金记录，“Malik补充道。“ICO罚款与Barings Law对Capita的法律行动是分开的，并且不会改变我们正在进行的索赔，“Malik补充道。“如果有任何影响，我们预计这将意味着我们的案件进展更快。”

他表示，针对大公司的数据泄露事件越来越多，这对人们的财务、隐私和信任造成了极大的损害。“这笔罚款以及不断增加的法律诉讼，应该给任何仍然轻率对待客户数据的公司敲响警钟。”