Otoritas Perlindungan Data Inggris (ICO) menjatuhkan denda sebesar £14 juta (sekitar USD 18,7 juta) kepada perusahaan layanan bisnis Capita atas insiden kebocoran data pada tahun 2023 yang mengekspos informasi pribadi 6,6 juta orang.
Raksasa Outsourcing Inggris yang Jadi Korban
Capita plc merupakan salah satu penyedia layanan konsultasi, digital, dan perangkat lunak terbesar di Inggris, dengan lebih dari 34.000 karyawan dan pendapatan tahunan mencapai £3 miliar.
Perusahaan ini melayani berbagai institusi besar, termasuk:
- Pemerintah daerah Inggris,
- National Health Service (NHS),
- Kementerian Pertahanan Inggris,
- serta sektor perbankan, utilitas, dan telekomunikasi.
Dampak pada Ratusan Skema Pensiun
Penyelidikan ICO mengonfirmasi bahwa kebocoran data tersebut berdampak pada ratusan klien Capita, termasuk 325 penyedia dana pensiun di Inggris, yang secara total memengaruhi 6,6 juta individu.
Semula, denda dijadwalkan mencapai £45 juta, namun diturunkan menjadi £14 juta setelah Capita:
- Mengakui tanggung jawab atas pelanggaran,
- Melakukan perbaikan keamanan signifikan, dan
- Memberikan layanan perlindungan data kepada individu yang terdampak.
Rinciannya:
- Capita plc: £8 juta
- Capita Pension Solutions Limited: £6 juta
Kronologi Serangan Siber
Insiden terjadi pada 22 Maret 2023, saat seorang karyawan Capita mengunduh file berbahaya yang memberi peretas akses ke jaringan internal.
Meskipun pelanggaran terdeteksi dalam waktu 10 menit, Capita gagal mengisolasi perangkat terinfeksi selama 58 jam, memberi kesempatan bagi peretas untuk:
- Bergerak lateral di dalam jaringan,
- Mendapat hak administrator, dan
- Mengakses berbagai database sensitif.
“Dalam waktu kurang dari dua hari, hampir satu terabyte data berhasil dieksfiltrasi. Pada 31 Maret 2023, ransomware dideploy dan seluruh kata sandi pengguna direset,” tulis laporan ICO.
Kelompok ransomware Black Basta mengaku bertanggung jawab atas serangan ini dan mengancam akan membocorkan seluruh data jika tebusan tidak dibayar.
Kegagalan Keamanan yang Disorot ICO
ICO menilai bahwa Capita gagal dalam beberapa aspek penting keamanan siber, antara lain:
- Tidak menerapkan model akun administrator bertingkat (tiered admin model),
- Terlambat merespons peringatan keamanan,
- Memiliki tim Security Operations Center (SOC) yang kekurangan personel, serta
- Tidak melakukan pengujian penetrasi dan manajemen risiko secara rutin.
Langkah Perbaikan dan Pernyataan Resmi
CEO Capita, Adolfo Hernandez, menyatakan bahwa perusahaan telah mencapai kesepakatan dengan ICO dan kini berinvestasi besar dalam penguatan keamanan siber.
Ia juga menegaskan bahwa pembayaran denda ini tidak akan memengaruhi panduan keuangan perusahaan kepada investor.
“Kami telah melakukan langkah besar untuk memperkuat sistem keamanan kami sejak insiden tersebut, dan komitmen itu akan terus kami jalankan,” ujar Hernandez.
Capita to pay £14 million for data breach impacting 6.6 million people
Sumber: BleepingComputer