Устаревшая практика защиты данных — ключевой фактор утечки данных PSNI

Утечка данных в Полицейской службе Северной Ирландии (PSNI) в августе 2023 года, в результате которой в сеть утекли данные о тысячах действующих офицеров. после неудачного ответа на запрос о свободе информации (FOI)возникла главным образом из-за устаревшего подхода к защите данных и соблюдению требований в полиции, согласно независимому обзору.

В результате взлома личные данные офицеров и штабных сотрудников попали в руки диссидентов-республиканцев и нанесли серьезную травму многим сотрудникам PSNI, значительная часть которых рассталась с силами, сославшись на подрыв доверия. по данным Би-би-си.

Пит О'Доэрти, временный комиссар полиции лондонского Сити и руководитель Национального совета начальников полиции (NPCC), отвечающий за информационную безопасность и кибербезопасность, сказал: «Это считается самой серьезной утечкой данных, которая когда-либо происходила в истории». полиции Великобритании, не только из-за характера и объема скомпрометированных данных, но и из-за политической истории и контекста, которые создают фон современной полицейской деятельности в Северной Ирландии и, следовательно, реальных или предполагаемых угроз офицерам, персоналу и сообществу.

«Учитывая серьезные угрозы, с которыми сталкивается полиция со стороны внешних субъектов киберугроз, мы не можем позволить себе быть уязвимыми изнутри и должны сделать все, что в наших силах, чтобы защитить наши данные, информацию и инфраструктуру, а также предоставить нашим сотрудникам и представителям общественности абсолютная уверенность и уверенность в том, что мы защитим их информацию».

В отчете установлено, что нарушение PSNI не было результатом случайного решения одного человека или команды, а произошло из-за того, что служба не осознала важность защиты данных и не воспользовалась возможностью активно защитить свои данные, а также выявить и предотвратить рисковать гибким и современным способом. В отчете говорится, что ни один из этих факторов не был выявлен какими-либо механизмами аудита, управления рисками или проверки как внутри сил, так и за их пределами.

Эта неспособность признать данные одновременно как актив и пассив, а также разрозненный подход к функциям управления информацией стали сильными факторами, способствовавшими взлому.

Было обнаружено, что силы придавали мало значения функциям организационных данных, и они выполнялись с легким подходом, в то время как управление информацией и данными более или менее отсутствовало в их стратегиях и структурах, и хотя они были включены в его программу аудита, эти риски и отсутствие контроля для управления ими не были выявлены.

В отчете говорится, что это, вероятно, связано с размером PSNI, его сложными операциями и ландшафтом угроз, с которыми оно сталкивается, но также имеет некоторую основу для внутреннего руководства и культуры, которые называют защиту данных слишком сложной, нишевой и чужой проблемой.

В отчете также указано отсутствие признания необходимости уделять первоочередное внимание защите данных и кибербезопасности при отсутствии программы или стратегии первостепенной силы в PSNI. Владельцы информационных активов (IAO) оказались непоследовательными, и поэтому силы были принципиально неспособны обеспечить достаточный ответ на любом уровне, несмотря на то, что некоторые преданные своему делу люди в организации признавали необходимость поступать правильно.

Он остановился на областях, связанных с политикой, практикой, обучением и отношением к защите данных, которые были неэффективными и слишком общими, при этом особую озабоченность вызывала презумпция знаний об использовании технологий Microsoft в вооруженных силах, которая не обязательно существовала. Вдобавок к этому, процесс свободы информации PSNI был непоследовательным и не имел четко определенного владельца, несмотря на то, что он широко использовался в силах, и он не смог эффективно внедрить принципы Закона о защите данных 2018 года.

Полный отчет, который можно скачать здесь, излагает ряд рекомендаций, которые PSNI следует принять в дальнейшем. Однако, добавил О'Догерти, они, скорее всего, будут применимы и ко многим другим правоохранительным органам.

«Этот отчет не только помогает осветить, как произошло нарушение и какие меры необходимо принять, чтобы предотвратить повторение этого в будущем, но и является тревожным сигналом для всех сил по всей Великобритании, чтобы они относились к защите и безопасности данных и информации так же серьезно, как и Это возможно, и таким образом многие рекомендации в этом отчете могут быть применимы ко многим другим полицейским силам», — сказал он.

«Теперь руководству службы потребуется время для рассмотрения отчета и содержащихся в нем рекомендаций», — заявил главный констебль PSNI Джон Баутчер. «Мы уже приняли меры по одной из рекомендаций, и роль SIRO (старшего владельца информационных рисков) была повышена до должности заместителя начальника полиции. Это гарантирует, что вопросы информационной безопасности и защиты данных будут немедленно видны заместителю главного констебля, главному операционному директору и главному констеблю, и им будет предоставлена ​​поддержка и внимание, которых они критически заслуживают.

«Мы будем работать с Полицейским советом Северной Ирландии, чтобы рассмотреть последствия отчета и сроки завершения соответствующих действий, которые были определены», — сказал он.