Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) đã công bố mức phạt 14 triệu Bảng Anh đối với Capita sau một cuộc tấn công mạng lớn vào tháng 3 năm 2023. Sự cố này đã dẫn đến việc rò rỉ dữ liệu cá nhân của 6,6 triệu người, gây ra những hậu quả nghiêm trọng về cả tài chính và uy tín.

Khoản tiền phạt được chia thành 8 triệu Bảng Anh cho Capita plc và 6 triệu Bảng Anh cho công ty con của họ, Capita Pension Solutions Limited.

Mức Phạt và Phạm Vi Ảnh Hưởng của Sự Cố Rò Rỉ Dữ Liệu

Cuộc tấn công mạng đã làm lộ thông tin nhạy cảm thuộc về hàng triệu người. Trong số đó có các hồ sơ lương hưu, thông tin nhân viên, và chi tiết khách hàng từ hơn 600 tổ chức mà Capita đang hỗ trợ.

Đối với nhiều nạn nhân, các dữ liệu bị đánh cắp bao gồm thông tin tài chính, hồ sơ hình sự, và các chi tiết cá nhân nhạy cảm khác. Đây là một trong những sự cố rò rỉ dữ liệu nhạy cảm lớn nhất tại Vương quốc Anh trong những năm gần đây.

Các nhà cung cấp chương trình lương hưu bị ảnh hưởng đặc biệt nghiêm trọng, với 325 tổ chức gặp phải tình trạng lộ dữ liệu thông qua Capita Pension Solutions Limited.

Các Loại Dữ Liệu Bị Rò Rỉ

• Hồ sơ lương hưu
• Thông tin nhân viên
• Chi tiết khách hàng
• Dữ liệu tài chính
• Hồ sơ hình sự
• Các chi tiết cá nhân nhạy cảm khác

Diễn Biến Cuộc Tấn Công Mạng

Cuộc tấn công bắt đầu vào ngày 22 tháng 3 năm 2023, khi một nhân viên vô tình tải xuống một tệp tin độc hại. Đây là điểm khởi đầu cho chuỗi sự kiện dẫn đến việc hệ thống bị xâm nhập và rò rỉ dữ liệu quy mô lớn.

Mặc dù các hệ thống bảo mật của Capita đã đưa ra cảnh báo ưu tiên cao chỉ trong vòng 10 phút, công ty đã mất tới 58 giờ để cách ly thiết bị bị nhiễm. Sự chậm trễ nghiêm trọng này đã tạo điều kiện cho kẻ tấn công phát tán phần mềm độc hại khắp mạng lưới.

Kẻ tấn công đã lợi dụng khoảng thời gian này để chiếm quyền quản trị và di chuyển tự do giữa các hệ thống. Việc chậm trễ trong việc phản ứng cho thấy những yếu kém đáng kể trong quy trình phát hiện xâm nhập và ứng phó sự cố.

Từ ngày 29 đến 30 tháng 3, kẻ tấn công đã đánh cắp gần một terabyte dữ liệu từ các hệ thống của Capita. Đến ngày 31 tháng 3, chúng triển khai mã độc ransomware và đặt lại tất cả mật khẩu người dùng, khóa quyền truy cập mạng của nhân viên Capita.

ICO đã nhận được ít nhất 93 khiếu nại từ những người bị ảnh hưởng bởi sự cố an ninh này. Đây là bằng chứng rõ ràng về tác động trực tiếp lên các cá nhân.

Kết Quả Điều Tra của ICO: Những Lỗ Hổng Bảo Mật Nghiêm Trọng

Cuộc điều tra của ICO đã phát hiện những điểm yếu nghiêm trọng trong các thực hành bảo mật của Capita. Các lỗ hổng này đã trực tiếp góp phần vào sự thành công của cuộc tấn công mạng.

Công ty đã không triển khai các biện pháp kiểm soát phù hợp cho tài khoản quản trị, cho phép kẻ tấn công leo thang đặc quyền và truy cập các hệ thống quan trọng trên nhiều miền. Điều này cho thấy sự thiếu sót trong quản lý quyền truy cập và phân quyền.

Vấn đề này đã được xác định ba lần trước cuộc tấn công nhưng chưa bao giờ được khắc phục. Việc bỏ qua các cảnh báo về rủi ro bảo mật đã được biết là một yếu tố then chốt.

Trung tâm Điều hành An ninh (SOC) của Capita cũng bị thiếu nhân lực và thường xuyên không đáp ứng được thời gian phản hồi mục tiêu một giờ cho các cảnh báo bảo mật. Trong ít nhất sáu tháng trước sự cố, đội ngũ này liên tục không đạt được các thời hạn quan trọng này.

Ngoài ra, công ty chỉ thực hiện kiểm tra thâm nhập (penetration testing) khi các hệ thống được thiết lập lần đầu và không bao giờ tiến hành các bài kiểm tra tiếp theo, ngay cả đối với các hệ thống xử lý hàng triệu hồ sơ nhạy cảm. Đây là một lỗ hổng nghiêm trọng trong chiến lược an ninh mạng của Capita.

Phản Hồi của Capita và Các Biện Pháp Khắc Phục

Ban đầu, ICO dự định phạt Capita 45 triệu Bảng Anh nhưng đã giảm mức phạt xuống 14 triệu Bảng Anh sau khi xem xét phản hồi của công ty. Capita đã đề nghị khách hàng bị ảnh hưởng 12 tháng dịch vụ giám sát tín dụng miễn phí thông qua Experian và thiết lập một trung tâm cuộc gọi riêng để hỗ trợ. Hơn 260.000 người đã kích hoạt dịch vụ giám sát tín dụng.

Ủy viên Thông tin Vương quốc Anh, John Edwards, nhấn mạnh rằng các tổ chức ở mọi quy mô phải xem xét nghiêm túc vấn đề an ninh mạng. Ông nói rõ rằng quy mô của sự cố này có thể đã được ngăn chặn bằng các biện pháp bảo mật phù hợp. Kẻ gian không chờ đợi, vì vậy các doanh nghiệp không thể trì hoãn việc bảo vệ dữ liệu khách hàng.

Để biết thêm chi tiết về cuộc điều tra, bạn có thể tham khảo thông báo chính thức từ ICO tại ICO Newsroom.

Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên nội dung được cung cấp, không có chỉ số thỏa hiệp (IOC) cụ thể nào như hàm băm (hash), địa chỉ IP, tên miền hoặc biến thể mã độc được liệt kê. Thông tin chỉ đề cập đến việc tải xuống tệp tin độc hại và triển khai mã độc ransomware chung chung.