Theo thông báo của ICO, vụ việc xảy ra vào tháng 3/2023, khi các tin tặc truy cập được vào thông tin cá nhân, bao gồm dữ liệu hưu trí, hồ sơ nhân viên và thông tin khách hàng của các tổ chức do Capita cung cấp dịch vụ.

Một số dữ liệu bị đánh cắp còn chứa thông tin nhạy cảm như tiền án tiền sự, dữ liệu tài chính hoặc dữ liệu thuộc nhóm đặc biệt (special category data), bao gồm chủng tộc, tôn giáo và xu hướng tính dục của người dùng.

Trong tổng số tiền phạt, ICO áp dụng 8 triệu bảng đối với Capita và 6 triệu bảng cho Capita Pension Solutions - đơn vị chuyên xử lý dữ liệu cá nhân thay mặt cho hơn 600 tổ chức quản lý quỹ hưu trí. Trong đó, 325 tổ chức cũng bị ảnh hưởng bởi vụ rò rỉ dữ liệu này.

“Capita đã thất bại trong nghĩa vụ bảo vệ dữ liệu”

Tập đoàn Capita – một trong những nhà cung cấp dịch vụ thuê ngoài lớn nhất Vương quốc Anh vừa bị phạt 14 triệu bảng do vi phạm nghiêm trọng quy định bảo mật dữ liệu cá nhân sau vụ tấn công mạng năm 2023.

ICO cho biết Capita thiếu biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo an toàn dữ liệu, khiến hệ thống ở trong tình trạng rủi ro nghiêm trọng và không có phản ứng kịp thời, hiệu quả khi vụ tấn công xảy ra.

Ban đầu, ICO dự kiến phạt tổng cộng 45 triệu bảng nhưng đã giảm xuống 14 triệu bảng do Capita tự nguyện hợp tác, khắc phục hậu quả, hỗ trợ người bị ảnh hưởng và đầu tư nâng cấp hệ thống bảo mật sau vụ tấn công.

Capita ra tuyên bố cho biết công ty “lấy làm tiếc” về vụ việc và khẳng định sau cuộc điều tra pháp y độc lập, tất cả những người có khả năng bị ảnh hưởng đã được liên hệ và thông báo.

Ông Adolfo Hernandez, Giám đốc điều hành Capita (nhậm chức năm 2024), cho biết công ty là một trong những nạn nhân đầu tiên trong làn sóng tấn công mạng quy mô lớn nhằm vào các tập đoàn Anh quốc. “Ngay sau khi tiếp quản vị trí Giám đốc điều hành, tôi đã đẩy nhanh chương trình chuyển đổi an ninh mạng, bổ nhiệm ban lãnh đạo kỹ thuật mới và tăng cường đầu tư. Nhờ đó, chúng tôi đã củng cố đáng kể hệ thống phòng thủ mạng, tích hợp công nghệ bảo mật tiên tiến và xây dựng văn hóa giám sát liên tục”, ông Hernandez nói.

Trước đó, Capita ước tính thiệt hại tài chính từ vụ tấn công có thể lên tới 25 triệu bảng Anh, bao gồm chi phí thuê chuyên gia, phục hồi dữ liệu, khắc phục hậu quả và đầu tư an ninh mạng mới, chưa tính các khoản phạt sau đó.

Sự cố từ một tệp tin độc hại

Theo kết luận của ICO, vụ tấn công bắt nguồn từ việc một nhân viên Capita vô tình tải xuống tệp tin độc hại vào ngày 22/3/2023.

Mặc dù hệ thống đã phát hiện cảnh báo an ninh chỉ 10 phút sau đó, nhưng Capita không cách ly thiết bị bị nhiễm trong suốt 58 giờ. Trong khoảng thời gian này, tin tặc đã khai thác lỗ hổng để xâm nhập hệ thống, giành quyền quản trị viên và truy cập nhiều khu vực mạng nội bộ khác.

Đến ngày 31/3/2023, tin tặc triển khai mã độc tống tiền (ransomware), đặt lại mật khẩu toàn bộ người dùng, khiến nhân viên Capita mất quyền truy cập hệ thống và làm gián đoạn hoạt động trên diện rộng.

Theo ICO, thời gian phản ứng tiêu chuẩn chỉ là một giờ, nhưng Capita đã vượt quá 57 giờ so với mục tiêu này.

Vụ việc của Capita diễn ra trong bối cảnh Vương quốc Anh liên tiếp hứng chịu các cuộc tấn công mạng trong năm 2023. Các tập đoàn lớn như WH Smith bị tin tặc xâm nhập lần thứ hai trong vòng một năm, trong khi Royal Mail phải tạm ngừng dịch vụ bưu chính quốc tế trong nhiều tuần vì bị tấn công.

Sang năm 2025, tình hình vẫn chưa hạ nhiệt: Jaguar Land Rover vẫn đang khắc phục hậu quả của vụ tấn công nghiêm trọng, chỉ vài tháng sau khi Marks & Spencer bị tin tặc tấn công làm tê liệt hệ thống nội bộ.

Lệ Thanh (theo The Independent)