هجوم الفدية على الهوية الرقمية، وهي شركة توريد بطاقات الهوية والوصول ومقرها ستوكبورت، تتطور لتصبح شركة جادة حادث سلسلة التوريد بعد ظهور خروقات البيانات التي أثرت على شرطة مانشستر الكبرى (GMP) وقوات شرطة العاصمة في لندن.
تم الكشف عن الاختراق في Met في أغسطسلكن GMP كشفت فقط أن بياناتها قد تم اختراقها بالأمس (14 سبتمبر)، مع تحذير أكثر من 12500 ضابط وموظف من أن معلوماتهم الشخصية ربما تكون قد تأثرت. ومن المفهوم أن البيانات نفسها تتضمن تفاصيل بطاقات أوامر الضباط العاملين، والتي تتضمن الأسماء والرتب والصور والأرقام التسلسلية.
قال مساعد رئيس GMP، كولين ماكفارلين: “نحن على علم بهجوم برامج الفدية الذي يؤثر على مورد خارجي لمختلف المنظمات في المملكة المتحدة، بما في ذلك GMP، الذي يحمل بعض المعلومات عن الموظفين العاملين لدى GMP. في هذه المرحلة، لا يعتقد أن هذه البيانات تتضمن معلومات مالية.
“نحن نتفهم مدى أهمية هذا الأمر بالنسبة لموظفينا، لذلك، بينما نعمل على فهم أي تأثير على GMP، اتصلنا بمكتب مفوضي المعلومات [ICO] ونبذل كل ما في وسعنا لضمان بقاء الموظفين على اطلاع والإجابة على أسئلتهم وشعورهم بالدعم. يتم التعامل مع هذا الأمر بمنتهى الجدية، من خلال إجراء تحقيق جنائي على المستوى الوطني في الهجوم”.
تدرك شركة Computer Weekly أن الهوية الرقمية، بشكل عام، تزود عملائها بالوسائل اللازمة لإنشاء بطاقات الهوية الخاصة بهم، ولكن بالنسبة لمجموعة فرعية صغيرة من العملاء بما في ذلك GMP، فإنها تقدم ذلك كخدمة، مما يتطلب منهم بطبيعة الحال تزويدها بالبيانات.
أسئلة المسؤولية في حوادث سلسلة التوريد
يأتي ذلك في أعقاب العديد من حوادث أمن البيانات الأخرى التي أثرت على القطاع العام في المملكة المتحدة، والتي نتجت عن كليهما هجوم المقهى و خطأ من الداخلتوم كيدويل، خبير سابق في الجيش والاستخبارات ومؤسس مشارك لشركة استشارات أمنية ديناميات مسير الشمسوقال إنه كان بإمكان القوة أن تفعل المزيد لتأمين معلوماتها.
“عند التفكير في الأمن السيبراني، تميل معظم المؤسسات إلى التركيز على أمنها الخاص، وتأمل أن يقوم موردوها والمنظمات الأخرى التي تعمل جنبًا إلى جنب معها بعملها بفعالية. ولسوء الحظ بالنسبة لشرطة مانشستر الكبرى، يبدو أن الأمر لم يكن كذلك”.
“الحقيقة هي أن وكالات إنفاذ القانون وهيئات القطاع العام الأخرى أصبحت هدفًا شائعًا بشكل متزايد للهجمات، ليس فقط لأنها غالبًا ما تحتوي على معلومات حساسة للغاية ومربحة، ولكن أيضًا لإحداث اضطراب وفوضى داخل المملكة المتحدة.
“إنه يسلط الضوء مرة أخرى على الحاجة إلى فهم قوي لسلسلة التوريد الخاصة بك والتأكد من أنها مسؤولة، لا سيما في المجالات التي قد تجعلك عرضة للخطر. غالبًا ما يتمتع مقدمو الخدمات المُدارة بمستويات مرتفعة من الوصول إلى أنظمتك وبياناتك، وغالبًا ما تكون أكثر من موظفيك. وقال كيدويل: “الافتراض هو أنهم يبذلون نفس القدر من الاجتهاد والعناية بالبنية التحتية الرقمية الخاصة بك مثلك”.
في حين لا يمكن إلقاء اللوم على شركة GMP في الهجوم السيبراني الأولي على موردها، روب شيلدون، الشريك في شركة محاماة متخصصة في خرق البيانات صياد الحقل، أعرب عن مشاعر مماثلة.
“لا نعرف التفاصيل الدقيقة هنا، ولكن عندما تقوم منظمة في المملكة المتحدة/الاتحاد الأوروبي بإشراك مورد لتقديم خدمة وتوفير معلومات حول الأشخاص الذين يقومون بهذه الخدمة، فإنه يلزم قانونًا إجراء فحوصات العناية الواجبة على المورد و قال شيلدون: “للدخول في عقد مع المورد”.
“يجب أن يفي العقد ببعض المتطلبات الدنيا بما في ذلك التزام المورد بتنفيذ والحفاظ على التدابير الأمنية المناسبة وإخطار العميل إذا تأثرت بياناته بخرق البيانات.
وأضاف شيلدون: “يبحث العملاء بشكل متزايد عن الحماية التعاقدية من الموردين ضد انتهاكات حماية البيانات، بما في ذلك خرق العقد/القانون، بما في ذلك الالتزام بالدفع للعميل في حالة حدوث خرق للبيانات حيث يعاني العميل من ضرر نتيجة للانتهاك. .
“في كثير من الأحيان، سيبحث العملاء عن الحماية ضد المطالبات المقدمة من الأفراد المتأثرين بانتهاك البيانات، والتكاليف المتكبدة في إدارة الانتهاك والغرامات التنظيمية الناشئة عن الانتهاك.”
