410/68 (IT) ประจำวันศุกร์ที่ 17 ตุลาคม 2568
สำนักงานคณะกรรมการข้อมูลข่าวสารของสหราชอาณาจักร (ICO) สั่งปรับบริษัท Capita มูลค่า 14 ล้านปอนด์ (ราว 18.7 ล้านดอลลาร์สหรัฐ) จากเหตุข้อมูลรั่วไหลเมื่อปี 2023 ส่งผลให้ข้อมูลส่วนบุคคลของประชาชนกว่า 6.6 ล้านคน ถูกเปิดเผย Capita เป็นหนึ่งในบริษัทบริการภายนอก (Outsourcing) และที่ปรึกษาทางธุรกิจรายใหญ่ของสหราชอาณาจักร ให้บริการแก่หน่วยงานรัฐ เช่น สภาท้องถิ่น ระบบสาธารณสุขแห่งชาติ (NHS) กระทรวงกลาโหม รวมถึงภาคการเงิน พลังงาน และโทรคมนาคม โดยมีพนักงานกว่า 34,000 คน
ผลการสอบสวนของ ICO พบว่าข้อมูลที่รั่วไหลส่งผลกระทบต่อบริษัทลูกค้าหลายร้อยแห่ง รวมถึงกองทุนบำนาญกว่า 325 แห่ง เหตุเกิดเมื่อเดือนมีนาคม 2023 หลังพนักงานของ Capita ดาวน์โหลดไฟล์อันตราย ทำให้แฮกเกอร์เข้าถึงเครือข่ายภายในของบริษัทได้นานถึง 58 ชั่วโมง แม้ระบบจะตรวจพบเหตุผิดปกติภายใน 10 นาที แต่การแยกเครื่องที่ติดเชื้อออกจากระบบกลับล่าช้า ส่งผลให้ผู้โจมตีสามารถเคลื่อนย้ายภายในระบบเครือข่าย เข้าถึงฐานข้อมูลสำคัญ และขโมยข้อมูลเกือบ 1 เทราไบต์ ก่อนปล่อยแรนซัมแวร์และรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมด กลุ่มแรนซัมแวร์ Black Basta อ้างความรับผิดชอบและข่มขู่เผยแพร่ข้อมูลหากบริษัทไม่ยอมจ่ายค่าไถ่
ICO ระบุว่า Capita มีช่องโหว่ด้านความปลอดภัยหลายประการ เช่น การควบคุมสิทธิ์การเข้าถึงที่ไม่เหมาะสม การตอบสนองต่อเหตุล่าช้า ขาดบุคลากรในศูนย์ปฏิบัติการความมั่นคงปลอดภัย (SOC) และไม่ดำเนินการทดสอบเจาะระบบหรือประเมินความเสี่ยงอย่างสม่ำเสมอ โดยปรับบริษัท Capita plc จำนวน 8 ล้านปอนด์ และบริษัทในเครือ Capita Pension Solutions Limited จำนวน 6 ล้านปอนด์ ทั้งนี้ บริษัทได้ยอมรับความรับผิด ปรับปรุงระบบความปลอดภัย และให้บริการตรวจสอบข้อมูลส่วนบุคคลแก่ผู้ได้รับผลกระทบฟรี ทำให้ ICO ลดค่าปรับจากเดิมที่ตั้งไว้ 45 ล้านปอนด์ ซีอีโอของ Capita ยืนยันว่าบริษัทได้ลงทุนเพิ่มเติมในด้านความมั่นคงปลอดภัยไซเบอร์เพื่อป้องกันเหตุการณ์ลักษณะนี้ไม่ให้เกิดขึ้นอีกในอนาคต
