Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/33

Kraj:

Wielka Brytania

Data wydania decyzji:

15.10.2025 r.

Podmiot kontrolowany:

CAPITA PLC

Wysokość kary (EUR):

9.180.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 ust. 1, 2 UK RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Incydent był następstwem kilku poważnych zaniedbań. Napastnik uzyskał dostęp do sieci Capita poprzez pobranie złośliwego pliku JavaScript („jdmb.js”) na urządzenie pracownika, najprawdopodobniej w wyniku drive‑by download bez oznak phishingu. Brak segmentacji sieci, wieloskładnikowego uwierzytelniania i zasad minimalnych uprawnień umożliwił atakującemu eskalację uprawnień do poziomu administratora domeny oraz swobodne przemieszczanie się po infrastrukturze. Sygnały ostrzegawcze były ignorowane: alert wysokiego priorytetu pozostawał bez reakcji przez kilkadziesiąt godzin, co pozwoliło intruzowi rozwinąć atak.

 

Opis wydarzeń

  1. Inicjalny atak: 22 marca 2023 r. napastnik uzyskał dostęp, pobierając złośliwy plik na komputer pracownika, co wywołało alert wysokiego poziomu. W ciągu kilku godzin uzyskał uprawnienia domenowego administratora.

  2. Brak skutecznej reakcji: W dniach 23-23 marca Qakbot przechwytywał nazwy użytkowników i hasła. Dopiero 24 marca urządzenie zostało poddane kwarantannie, ale atakujący utrzymał obecność w sieci dzięki Cobalt Strike i BloodHound.

  3. Eksfiltracja danych: 29 marca wywołano wewnętrzny proces „Major Incident”. Tego dnia napastnik zaczął transferować dane przez SystemBC (1,76 GB), a następnego dnia wykorzystał Rclone do wykradzenia ok. 973 GB danych. Łącznie z sieci Capita wypłynęło ok. 974,84 GB danych.

  4. Ransomware i zgłoszenie naruszenia: 31 marca między 00:22 a 06:07 ransomware zablokował systemy i uruchomiono globalne resetowanie haseł, co dotknęło 59 359 kont. Tego samego dnia wieczorem Capita zgłosiła naruszenie do organu nadzorczego.

  5. Przywracanie systemów: do 6 kwietnia 2023 r. większość systemów była dostępna, a pełną funkcjonalność odzyskano dopiero na przełomie maja i czerwca 2023 r..

  6. Skala naruszenia i poszkodowani – Według ustaleń organu nadzorczego napastnik wykradł dane dotyczące 213 887 osób, dla których Capita plc była administratorem, oraz 5 741 544 osób, których dane przetwarzała CPSL jako podmiot przetwarzający. Łącznie eksfiltracja dotyczyła 6 656 037 osób. Dane obejmowały m.in. imiona i nazwiska, adresy, numery ubezpieczenia społecznego, informacje o zatrudnieniu i dane szczególnej kategorii. Późniejsza analiza zmodyfikowała te liczby do 631 816 osób (Capita jako administrator) i 6 024 221 osób (Capita jako procesor).

  7. Wysokość kary i uzasadnienie – W pierwotnym zawiadomieniu o intencji nałożenia kary organ nadzorczy rozważał grzywnę w wysokości 25 mln GBP dla Capita plc i 20 mln GBP dla CPSL, ale po uwzględnieniu wyjaśnień spółek ostatecznie nałożono 8 000 000 GBP na Capita plc i 6 000 000 GBP na CPSL. Spółki uznały odpowiedzialność za naruszenia, choć kwestionowały wysokość kar. Organ nadzorczy podkreślił, że naruszenia dotyczyło braku odpowiednich środków technicznych i organizacyjnych, co skutkowało wyciekiem danych i instalacją ransomware.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Analiza ryzyka i dokumentowanie: Cykliczne identyfikowanie zagrożenia i ocenianie prawdopodobieństwa ich materializacji, szczególnie pod kątem praw i wolności osób fizycznych. Aktualizowanie analizy przy każdej zmianie infrastruktury lub systemów.

  2. Kontrola dostępu i higiena haseł: Stosowanie silnych haseł, zasady minimalnych uprawnień oraz wieloskładnikowego uwierzytelniania. Ograniczanie liczebności grupy administratorów domeny, wdrożenie segmentacji sieci oraz izolacji stref o podwyższonym ryzyku.

  3. Zarządzanie podatnościami: Wprowadzenie procedury regularnych aktualizacji systemów, aplikacji i urządzeń. Przeprowadzanie testów penetracyjnych i uszczelnianie zidentyfikowanych słabych punktów.

  4. Bezpieczeństwo kopii zapasowych: Regularne wykonywanie i szyfrowanie kopii zapasowych oraz przechowywanie ich offline. Testowanie procedury przywracania i dokumentowanie wyników.

  5. Monitoring i reagowanie na incydenty: Zbudowanie działającego systemu monitoringu zdarzeń (SIEM) i zdefiniowanie zasady reagowania na alerty. Organizacja powinna mieć zdolność do wykrycia i neutralizacji ataku zanim wyrządzi on szkody.

  6. Plan reagowania na incydenty: Opracowanie i regularne testowanie planu reagowania, określając kanały eskalacji, kontakty z zespołami CERT, harmonogramy testów odtworzeniowych oraz procedury zgłaszania naruszeń organowi nadzorczemu i osobom, których dane dotyczą.

  7. Szkolenia pracowników: Prowadzenie szkoleń z zakresu cyberbezpieczeństwa, rozpoznawania phishingu i obowiązków wynikających z RODO.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO