El impacto de dos incidentes de seguridad cibernética separados en Capita continúa extendiéndose a medida que más y más clientes de las organizaciones informan violaciones de datos posteriores, con los datos de cientos de miles, potencialmente millones, de personas privadas probablemente afectadas.
Hasta 90 organizaciones dicen que ahora han visto algún impacto, según la BBC, que citó cifras actualizadas de la Oficina del Comisionado de Información (ICO).
Entre ellos se encuentran múltiples fondos de pensiones que utilizaron el servicio Hartlink de la empresa, un sitio web supuestamente seguro que permite a las personas administrar sus pensiones. Estos incluyen firmas como Diageo, Marks and Spencer, Royal Mail y Unilever.
Los sistemas de Capita fueron atacados a fines de marzo, lo que provocó una interrupción del servicio de varios días para muchos de los clientes del sector público de la organización. En ese momento, la operación de comunicaciones de crisis de Capita afirmó que no había evidencia de que los datos de los clientes estuvieran comprometidos, pero ahora se ha demostrado que esto no es cierto.
Posteriormente, también se supo que Capita dejó datos confidenciales expuestos a la Internet pública durante varios años, ya que no pudo configurar correctamente un depósito de almacenamiento S3 de Amazon Web Services (AWS).
“Tenemos conocimiento de dos incidentes relacionados con Capita, con respecto a un ataque cibernético en marzo y el uso de almacenamiento de acceso público. Estamos recibiendo una gran cantidad de informes de organizaciones directamente afectadas por estos incidentes y actualmente estamos realizando consultas”, dijo el ICO en un comunicado.
El regulador dijo que continuaría alentando a los clientes de Capita a verificar su exposición a estos incidentes y, si es necesario, considerar informarle sobre las infracciones.
Las organizaciones están obligadas a notificar al ICO dentro de las 72 horas posteriores a la toma de conocimiento de una violación de datos personales, a menos que no represente un riesgo para los derechos o libertades de las personas.
Incluso si una organización decide no informar, debe mantener registros de la infracción y ser capaz y estar preparada para explicar por qué no lo hizo, en caso de que cambien las circunstancias.
El asesor de seguridad cibernética global de ESET, Jake Moore, dijo que cuando se comprometían los datos personales, las infracciones tenían un impacto mucho mayor y advirtió que podrían pasar años antes de que se aclare exactamente lo que sucedió en Capita.
“Los efectos colaterales de este ataque han sido brutales y resaltan el alcance total de un ciberataque típico de hoy en día”, dijo Moore. “La exposición de datos confidenciales puede crear problemas para los clientes que a menudo no conocen el resultado completo del robo de su información.
“Ya sea que las personas hayan sido advertidas o no, las personas deben permanecer atentas a las amenazas de seguimiento distintivas. Las personas deben permanecer en guardia ante posibles comunicaciones maliciosas, incluso si suenan plausibles y verificadas con los datos correspondientes debido a las posibilidades de fraude y robo de identidad”.
Jamie Akhtar, director ejecutivo y cofundador de CyberSmart, agregó: “Esta historia podría convertirse en uno de los mejores ejemplos de los riesgos de seguridad cibernética que plantean las cadenas de suministro… Si usted es parte de una cadena de suministro, los ciberdelincuentes intentarán atacarlo antes”. o posterior: la oportunidad de causar interrupciones o robar datos importantes es demasiado buena para dejarla pasar.
“Por lo tanto, instamos a las empresas de todos los tamaños a pensar en su cadena de suministro y los riesgos dentro de ella. Si no está seguro de por dónde empezar, la guía de ‘mapeo de su cadena de suministro’ del NCSC es un excelente punto de partida”.