تمكن الطلاب في إحدى الكليات الرائدة للمحامين من الوصول إلى الملفات التي تحتوي على معلومات عن مئات الطلاب الحاليين والمحتملين الآخرين، بعد ما وصفته الكلية بـ “مشكلة” فنية.
ال نزل كلية المحكمة للدعوة (ICCA)، التي تقدم التدريب للمحامين المستقبليين، أبلغت مكتب مفوض المعلومات بالانتهاك الذي ترك ملفات الكلية الحساسة في متناول الطلاب على بوابة الويب الخاصة بالكلية.
تدرك شركة Computer Weekly أن بعض الطلاب في الكلية تمكنوا من عرض الملفات التي تحتوي على معلومات خاصة وحساسة لما يقرب من 800 طالب، بما في ذلك أكثر من 440 عنوان بريد إلكتروني شخصي.
ترك الاختراق البيانات الشخصية بما في ذلك عناوين البريد الإلكتروني وأرقام الهواتف، بالإضافة إلى المعلومات الأكاديمية بما في ذلك علامات الامتحانات والمؤسسات السابقة التي حضرها، في متناول الطلاب في الكلية.
وتمكن الطلاب أيضًا من الوصول إلى صور الهوية إلى جانب أرقام هوية الطالب والبيانات الحساسة التي تشمل السجلات الصحية وحالة التأشيرة وما إذا كانوا حاملاً أو لديهم أطفال.
يقدم ICCA دورة تدريبية لمدة عام للمحامين المستقبليين تعتمد على مزيج من التعلم الإلكتروني والتدريس الشخصي والدراسة الذاتية. بحسب موقع الكلية، النصف الأول منها دورة من جزأين يتم “تسليمها بالكامل عبر الإنترنت”.
قال آندي راسل، مدير العمليات في ICCA، لموقع Computer Weekly إن هناك “مشكلة فنية” غير محددة تعني أن “بعض الطلاب” يمكنهم الوصول إلى الملفات التي يجب أن تقتصر على الموظفين وحدهم. وقال إن الكلية طلبت تعهدات كتابية بعدم مشاركة البيانات مع أولئك الذين لديهم حق الوصول إلى الملفات.
خرق البيانات
ولم تؤكد الكلية عدد الطلاب الذين تمكنوا من الوصول إلى الملفات حتى الآن.
قال راسل: “شهدت ICCA خرقًا للبيانات في أغسطس 2023”. “بسبب مشكلة فنية، قام بعض الطلاب المسجلين بتقديم طلبات بحث في ملفاتهم [email protected] تم إرجاع نتائج حسابات البريد الإلكتروني التي تضمنت بعض الملفات من موقع SharePoint المخصص لموظفي ICCA فقط.
وأضاف: “فور اكتشاف المشكلة، تم اتخاذ إجراءات فورية لتأمين الملفات المتضررة”.
وأكد مكتب مفوض المعلومات (ICO) أيضًا أنه تم إخطاره بالانتهاك وأنه يدرس خطواته التالية.
وقال متحدث باسم ICO: “لقد أبلغنا مجلس نزل المحكمة بالحادث ونحن نقوم بتقييم المعلومات المقدمة”.
وقال راسل إن اختراق البيانات تم احتواؤه داخل المؤسسة الجامعية وأنه لا يشكل “خطرًا كبيرًا” على “حقوق وحريات” الأفراد المتضررين.
وقال: “حققت ICCA بشكل كامل في الانتهاك وتحققت من عدم الوصول إلى أي بيانات مالية أو بيانات تسجيل الدخول/كلمة المرور”.
التعهدات الكتابية
قال راسل: “لقد تمكنا من تحديد عدم مشاركة أي بيانات شخصية خارج مؤسستنا، على الرغم من أنه تم الوصول إلى بعض الملفات من قبل عدد صغير جدًا من طلاب ICCA. لقد اتصلنا بهؤلاء الطلاب الذين تمكنوا من الوصول إلى الملفات وتلقينا تعهدات كتابية منهم بأن أي بيانات ربما شاهدوها لم تتم مشاركتها مع أطراف أخرى، ولن تتم مشاركتها أبدًا في المستقبل.
وقال: “بمجرد التعرف على الحقائق الكاملة للانتهاك، وبعد التشاور مع خبراء خارجيين في مجال تكنولوجيا المعلومات واللائحة العامة لحماية البيانات، أكملت ICCA تقييماً شاملاً للمخاطر”.
وأضاف راسل أنه بتطبيق الاختبارات ذات الصلة، خلص إلى أن الأمر لا يمثل خطرا كبيرا على “حقوق وحريات” الأفراد المتضررين.
وأضاف: “ومع ذلك، ومن أجل الشفافية والصراحة، قامت ICCA بإخطار جميع من اطلعت على بياناتهم بتفاصيل الانتهاك بشكل استباقي”.
التزامات اللائحة العامة لحماية البيانات
قال محامي حماية البيانات داي ديفيس لموقع Computer Weekly إن أهمية ادعاء الكلية أن خرق البيانات لا يشكل “خطرًا كبيرًا” يعني أن الكلية لم تضطر بعد ذلك إلى إخطار جميع الطلاب الذين تعرضت بياناتهم للاختراق.
بموجب اللائحة العامة لحماية البيانات، لم تكن الكلية ملزمة بالاتصال بجميع الأفراد الذين ربما تم عرض بياناتهم ولكنها كانت ملزمة بالاتصال بـ ICO.
وقال: “صرحت الكلية بأنها أبلغت مع ذلك أولئك الذين تعلم الكلية أن بياناتهم قد تم الاطلاع عليها”.
“ولكن بما أن الكلية ذكرت فقط أن طبيعة الاختراق كانت “مسألة فنية”، فلا يمكن للمرء تحديد ما إذا كان هذا يعني أنه قد تم الاتصال بجميع الأفراد الذين تم الوصول إلى بياناتهم”.
