خرق البيانات في أغسطس 2023 في خدمة الشرطة في أيرلندا الشمالية (PSNI)، والذي شهد تسرب تفاصيل الآلاف من الضباط العاملين عبر الإنترنت بعد استجابة فاشلة لطلب حرية المعلومات (FoI).، نشأت بشكل رئيسي من نهج قديم لحماية البيانات والامتثال في القوة، وفقًا لمراجعة مستقلة.
أدى الانتهاك إلى وقوع البيانات الشخصية للضباط والموظفين في أيدي الجمهوريين المنشقين، وتسبب في صدمة خطيرة للعديد من موظفي PSNI، الذين انفصل عدد كبير منهم عن القوة بسبب انهيار الثقة. بحسب بي بي سي.
وقال بيت أودوهرتي، المفوض المؤقت في شرطة مدينة لندن ومجلس رؤساء الشرطة الوطنية (NPCC) المسؤول عن ضمان المعلومات والأمن السيبراني: “يعتبر هذا أهم خرق للبيانات حدث على الإطلاق في التاريخ”. ليس فقط بسبب طبيعة وحجم البيانات المخترقة، ولكن بسبب التاريخ السياسي والسياق الذي يحدد خلفية الشرطة المعاصرة في أيرلندا الشمالية، وبالتالي التهديدات الفعلية أو المتصورة تجاه الضباط والموظفين والمجتمعات.
“في ظل التهديدات الكبيرة التي تواجه الشرطة من قبل جهات تهديد سيبرانية خارجية، لا يمكننا أن نسمح لأنفسنا بأن نكون عرضة للخطر من الداخل، ويجب أن نبذل كل ما في وسعنا لحماية بياناتنا ومعلوماتنا وبنيتنا التحتية، ومنح موظفينا وأفراد المجتمع الثقة المطلقة بأننا سنحمي معلوماتهم”.
يوضح التقرير أن الاختراق في PSNI لم يكن نتيجة لقرار عرضي من فرد أو فريق، ولكنه نابع من فشل الخدمة في إدراك أهمية حماية البيانات، وعدم اغتنام الفرصة لتأمين بياناتها بشكل استباقي وتحديد ومنع المخاطر بطريقة رشيقة وحديثة. وقال التقرير إنه لم يتم تحديد أي من هذه العوامل من خلال أي آليات للتدقيق أو إدارة المخاطر أو التدقيق سواء داخل القوة أو خارجها.
كان هذا الفشل في التعرف على البيانات كأصل والتزام، إلى جانب النهج المنعزل لوظائف إدارة المعلومات، من العوامل المساهمة القوية في الانتهاك.
تبين أن القوة لم تولي أهمية كبيرة لوظائف البيانات التنظيمية، وتم تقديمها من خلال نهج خفيف، في حين كانت إدارة المعلومات والبيانات غائبة بشكل أو بآخر عن استراتيجياتها وهياكلها، وعلى الرغم من إدراجها في برنامج التدقيق الخاص بها، ولم يتم رصد هذه المخاطر وعدم وجود ضوابط لإدارتها.
ووجد التقرير أن هذا يرجع على الأرجح إلى حجم PSNI وعملياتها المعقدة ومشهد التهديد الذي تواجهه، ولكن كان له أيضًا بعض الأساس في القيادة الداخلية والثقافة التي وصفت حماية البيانات بأنها معقدة للغاية ومتخصصة ومشكلة شخص آخر.
كما حدد التقرير عدم الاعتراف بالحاجة إلى إعطاء الأولوية لحماية البيانات والأمن السيبراني، مع عدم وجود برنامج أو استراتيجية قوة مهيمنة في PSNI. تبين أن مالكي أصول المعلومات (IAOs) غير متسقين، وعلى هذا النحو، كانت القوة غير قادرة بشكل أساسي على تشكيل استجابة كافية على أي مستوى، على الرغم من بعض الأفراد المتفانين في المنظمة الذين أدركوا الحاجة إلى القيام بالشيء الصحيح.
وقد تناولت مجالات تتعلق بسياسة حماية البيانات، والممارسات، والتدريب، والمواقف، التي كانت غير فعالة وعامة للغاية، مع اهتمام خاص بافتراض المعرفة فيما يتعلق باستخدام تكنولوجيا مايكروسوفت في القوة التي لم تكن موجودة بالضرورة. إضافة إلى ذلك، كانت عملية حرية المعلومات الخاصة بـ PSNI غير متسقة ولم يكن لها مالك محدد بوضوح على الرغم من استخدامها على نطاق واسع في القوة، وقد فشلت في تضمين مبادئ قانون حماية البيانات لعام 2018 بشكل فعال.
التقرير الكامل، والتي يمكن تحميلها هنا، يحدد عددًا من التوصيات التي يتعين على PSNI اعتمادها للمضي قدمًا. ومع ذلك، أضاف أودوهرتي، أنه من المحتمل أن تكون هذه قابلة للتطبيق على العديد من وكالات إنفاذ القانون الأخرى.
“لا يقتصر هذا التقرير على تقديم خدمات لتسليط الضوء على كيفية حدوث الانتهاك وما هي التدابير التي يجب اتخاذها لمنع حدوث ذلك مرة أخرى، بل هو بمثابة دعوة للاستيقاظ لكل قوة في جميع أنحاء المملكة المتحدة لأخذ حماية وأمن البيانات والمعلومات على محمل الجد”. ممكن وبهذه الطريقة، فإن العديد من التوصيات الواردة في هذا التقرير قد تنطبق على العديد من قوات الشرطة الأخرى.
قال رئيس شرطة PSNI جون بوتشر: “سيستغرق الفريق التنفيذي للخدمة الآن بعض الوقت للنظر في التقرير والتوصيات الواردة فيه”. “لقد اتخذنا بالفعل إجراءً بشأن إحدى التوصيات وتم رفع دور SIRO (مسؤول كبير عن مخاطر المعلومات) إلى منصب نائب رئيس الشرطة. سيضمن ذلك أن مسائل أمن المعلومات وحماية البيانات ستكون مرئية على الفور لنائب رئيس الشرطة ورئيس العمليات ورئيس الشرطة ويمكن منحهم الدعم والاهتمام الذي يستحقونه بشدة.
وقال: “سنعمل مع مجلس الشرطة في أيرلندا الشمالية للنظر في الآثار المترتبة على التقرير والإطار الزمني لاستكمال الإجراءات ذات الصلة التي تم تحديدها”.
