आउटसोर्सिंग कंपनी कैपिटा पर डेटा सुरक्षा विफलताओं के लिए £14m का जुर्माना लगाया गया है, क्योंकि हैकर्स ने 6.6 मिलियन लोगों की व्यक्तिगत जानकारी चुरा ली है, जिसमें कर्मचारियों के विवरण और उसके ग्राहकों के ग्राहक शामिल हैं।
जुर्माना लगाने वाले यूके के सूचना आयुक्त जॉन एडवर्ड्स ने कहा कि समूह और उसके समर्थित कंपनियों से मार्च 2023 में डेटा चोरी हुई, जिसमें 325 पेंशन प्रदाता भी शामिल थे, जिससे प्रभावित लोगों के लिए चिंता और तनाव पैदा हो गया।
कैपिटा के लिए £8 मिलियन का जुर्माना और उसकी कैपिटा पेंशन सॉल्यूशंस शाखा के लिए £6 मिलियन का जुर्माना तब लगाया गया है जब ब्रिटेन के व्यवसाय हालिया साइबर हमलों की लहर से जूझ रहे हैं, जिसने एम एंड एस और जगुआर लैंड रोवर जैसी कंपनियों को पंगु बना दिया है।
कैपिटा ने 10 मिनट के भीतर हमले का पता लगा लिया, लेकिन उस डिवाइस को 58 घंटों तक बंद नहीं किया, जिसे दुर्भावनापूर्ण फ़ाइल द्वारा लक्षित किया गया था, इस दौरान हमलावर उसके सिस्टम का फायदा उठाने में सक्षम था। हैकर्स ने लगभग एक टेराबाइट डेटा लिया, रैंसमवेयर इंस्टॉल किया और सभी उपयोगकर्ता पासवर्ड रीसेट कर दिए, कैपिटा स्टाफ को लॉक कर दिया।
कुछ मामलों में चोरी की गई जानकारी संवेदनशील थी, जैसे आपराधिक रिकॉर्ड का विवरण, वित्तीय डेटा और “विशेष श्रेणी डेटा”, जिसमें जाति, धर्म और यौन अभिविन्यास शामिल हो सकते हैं।
£45m के मूल प्रस्तावित जुर्माने में कटौती तब की गई जब कैपिटा ने सुरक्षा में सुधार करने और नियामकों और जीसीएचक्यू के हिस्से राष्ट्रीय साइबर सुरक्षा केंद्र के साथ जुड़ने का अभ्यावेदन दिया, जिसने इस सप्ताह कहा कि यूके में राष्ट्रीय स्तर पर महत्वपूर्ण साइबर हमलों की संख्या पिछले वर्ष में दोगुनी से अधिक हो गई है।
इसने सभी आकार के व्यवसायों से आकस्मिक योजनाएँ तैयार करने का आह्वान किया, यदि “आपका आईटी बुनियादी ढांचा कल खराब हो जाए और आपकी सभी स्क्रीनें खाली हो जाएँ”।
सूचना आयुक्त की जांच में पाया गया कि हमले से पहले, कैपिटा ज्ञात कमजोरियों को ठीक करने में विफल रहा, इसके सुरक्षा संचालन केंद्र में कर्मचारियों की कमी थी और इसने लाखों व्यक्तिगत और कभी-कभी संवेदनशील रिकॉर्ड की देखभाल के बावजूद सुरक्षा का अपर्याप्त परीक्षण किया था।
एडवर्ड्स ने कहा, “कैपिटा लाखों लोगों द्वारा उसे सौंपे गए डेटा की सुरक्षा करने के अपने कर्तव्य में विफल रही।” “यदि पर्याप्त सुरक्षा उपाय किए गए होते तो इस उल्लंघन के पैमाने और इसके प्रभाव को रोका जा सकता था।
“जब कैपिटा आकार की एक कंपनी छोटी पड़ जाती है, तो परिणाम महत्वपूर्ण हो सकते हैं। न केवल उन लोगों के लिए जिनके डेटा से समझौता किया गया है – जिनमें से कई ने हमें अपनी चिंता और तनाव के बारे में बताया है – बल्कि जनता के बीच व्यापक विश्वास और हमारी भविष्य की समृद्धि के लिए भी। जैसा कि हमारे अच्छे प्रदर्शन से पता चलता है, कोई भी संगठन अपनी जिम्मेदारियों को नजरअंदाज करने के लिए बहुत बड़ा नहीं है।”
न्यूज़लेटर प्रमोशन के बाद
कैपिटा के मुख्य कार्यकारी, एडोल्फो हर्नांडेज़ ने कहा: “आवश्यक सार्वजनिक सेवाओं के साथ-साथ निजी क्षेत्र के ग्राहकों के लिए प्रमुख सेवाएं प्रदान करने वाले संगठन के रूप में, कैपिटा ब्रिटेन की बड़ी कंपनियों पर अत्यधिक महत्वपूर्ण साइबर हमलों की हालिया लहर में पहले स्थान पर था।
“जब मैं हमले के अगले वर्ष सीईओ के रूप में शामिल हुआ तो मैंने नए डिजिटल और प्रौद्योगिकी नेतृत्व और महत्वपूर्ण निवेश के साथ हमारे साइबर सुरक्षा परिवर्तन को तेज कर दिया। परिणामस्वरूप, हमने अपनी साइबर सुरक्षा स्थिति को काफी मजबूत किया है, उन्नत सुरक्षा का निर्माण किया है और निरंतर सतर्कता की संस्कृति को शामिल किया है।”
