カピタは、約700万人に影響を与えた2023年の情報漏洩につながったセキュリティの不備に対する1400万ポンドの規制罰金について、控訴しないことを情報コミッショナー事務局(ICO)が明らかにしました。
英国のデータ保護規制当局によると、当初はアウトソーシング大手に4500万ポンドの罰金を科す意向でした。しかし、攻撃後にカピタが行った改善、被害者への支援、他の規制当局や国家サイバーセキュリティセンター(NCSC)との連携が評価され、罰金は69%減額されました。
2023年3月、カピタの従業員がブラック・バスタ・ランサムウェアグループと関係する脅威アクターに標的にされ、誤ってマルウェアを自分の端末にダウンロードしました。
「高優先度のセキュリティアラート」が10分以内に発報されたものの、端末が隔離されるまでさらに58時間かかり、その間に脅威アクターが権限を昇格させ、ネットワーク内の他の部分へ横移動できるようになったとICOは述べています。
最初の侵害から9日後の2023年3月31日、カピタのネットワークにランサムウェアが展開され、脅威アクターはすべてのユーザーパスワードを変更し、従業員を締め出しました。
ブラック・バスタによって盗まれたデータには、年金やスタッフの記録、カピタの顧客に関する機密情報(犯罪歴、財務データ、特別カテゴリーのデータなど)が含まれていたとICOは述べています。カピタ・ペンション・ソリューションズの600社のうち、半数以上(325社)が影響を受けました。
昨年、8000人の原告がカピタを相手取り高等法院で訴訟を起こしました。
同社は当時、NHS、刑務所・保護観察サービス、王立海軍などを含む顧客向けに数十億ポンド規模の政府契約も運営していました。
一連のエラー
ICOによると、カピタは「適切な技術的および組織的措置」を実施しなかったことで英国GDPRに違反しました。具体的には以下の通りです:
- 権限昇格や不正な横移動の防止に失敗:管理者アカウントに「階層モデル」(特権アクセス管理の重要な要素)がなく、この問題は何度も指摘されていました
- セキュリティアラートへの適切な対応に失敗:目標対応時間が1時間だったにもかかわらず、カピタは対応に58時間かかりました。これはセキュリティオペレーションセンター(SOC)の人員不足も一因です
- 不十分なペンテストとリスク評価:数百万件の記録を処理するシステムが、導入後に1回しかペンテストを受けておらず、結果も事業部ごとに分断されていたため、特定されたリスクが全社的に対処されませんでした
情報コミッショナーのジョン・エドワーズ氏は、「十分なセキュリティ対策」が講じられていれば、この事件は防げた可能性があると指摘しました。
「カピタのような大企業が基準を満たさない場合、その影響は重大です。データが漏洩した人々にとってはもちろん、多くの方が不安やストレスを感じたと話していますし、社会全体の信頼や将来の繁栄にも影響します」と続けました。
「今回の罰金が示す通り、どんなに大きな組織でも責任を無視することはできません。」
ICOは組織に対し、積極的にセキュリティリスクに対応するよう呼びかけています:
- 最小権限の原則を徹底し、横移動を防ぐための措置を講じる
- 不審な活動を定期的に監視し、アラートには迅速に対応する
- ペンテストの結果を組織全体で共有する
- 重要なコントロールへの投資を優先し、適切に機能しているか確認する
- データ管理者と処理者の「合意事項と責任」を確認する
画像クレジット:Ahyan Stock Studios / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/capita-fined-14m-2023-breach-66/
