فرض غرامة على وزارة الدفاع بعد خرق بيانات الموظفين الأفغان مما أدى إلى تعريض حياة الموظفين للخطر
تم فرض غرامة على وزارة الدفاع (MoD) بقيمة 350 ألف جنيه إسترليني بعد ذلك سلسلة من الأخطاء الفادحة الداخلية في البريد الإلكتروني في سبتمبر 2021 كشفت البيانات الشخصية للمواطنين الأفغان المؤهلين للإجلاء إلى المملكة المتحدة بعد سيطرة حركة طالبان على البلاد.
نشأ الحادث من خلال سياسة إعادة التوطين والمساعدة الأفغانية (Arap) التابعة لوزارة الدفاع، والتي كانت في ذلك الوقت تعمل بشكل كامل لتقديم المساعدة للمواطنين الأفغان الذين عملوا مع القوات البريطانية وبالتالي كانوا معرضين لخطر الانتقام من طالبان.
أرسل Arap عبر البريد الإلكتروني قائمة توزيع للمواطنين الأفغان الذين يسعون إلى الإخلاء باستخدام الحقل “إلى”، وكانت النتيجة مشاركة بيانات 245 شخصًا، بما في ذلك الصور المصغرة للملف الشخصي لـ 55 منهم، مع القائمة بأكملها. ثم قام شخصان بالضغط على “الرد على الكل”، وتخلى أحدهما عن موقعه عن غير قصد.
نادرًا ما تفرض منظمة ICO غرامات على هيئات الحكومة والقطاع العام بسبب الانتهاكات على أساس القيام بذلك، كما تقول في نهاية المطاف يزيد العبء على دافعي الضرائب البريطانيين. ولكن في هذه المناسبة، ونظراً للخطر الذي نتج عن ذلك على الحياة، فقد اتخذت قراراً بفرض عقوبة مالية.
وقال مفوض المعلومات جون إدواردز: “إن هذا الاختراق المؤسف للغاية للبيانات خذل أولئك الذين تدين لهم بلادنا بالكثير”. “لقد كان هذا انتهاكًا فاضحًا بشكل خاص للالتزام بالأمن المستحق لهؤلاء الأشخاص، مما يستدعي العقوبة المالية التي يفرضها مكتبي اليوم.
“على الرغم من أن الوضع على الأرض في صيف عام 2021 كان صعبًا للغاية وتم اتخاذ القرارات بوتيرة سريعة، إلا أن هذا ليس عذرًا لعدم حماية معلومات الأشخاص الذين كانوا عرضة للانتقام والمعرضين لخطر الأذى الجسيم. وعندما يرتفع مستوى المخاطر والأذى الذي يلحق بالناس، يجب أن ترتفع الاستجابة أيضًا.
“من خلال إصدار هذه الغرامة ومشاركة الدروس المستفادة من هذا الانتهاك، أريد أن أوضح لجميع المنظمات أنه لا يوجد بديل للاستعداد. إن تطبيق أعلى معايير حماية البيانات ليس أمراً إضافياً اختيارياً، بل أمر لا بد منه مهما كانت الظروف. وكما رأينا هنا، فإن عواقب خروقات البيانات يمكن أن تهدد الحياة. سيواصل مكتبي العمل عندما نجد امتثالًا ضعيفًا للقانون مما يعرض الأشخاص لخطر الأذى.
وجد التحقيق أن هذا يتعارض مع إرشادات ICO، مما يوضح أنه يجب على المؤسسات أن يكون لديها تدابير فنية مناسبة لتجنب الكشف عن بيانات البريد الإلكتروني المجمعة، مثل استخدام خدمات البريد الإلكتروني المجمعة أو دمج البريد أو النقل الآمن للبيانات.
لقد فشل Arap في تنفيذ أي من هذه السياسات، وكان يعتمد على الموظفين الذين يتذكرون استخدام وظيفة النسخة الكربونية العمياء (BCC). بالإضافة إلى ذلك، قالت إن الموظفين المنضمين إلى فريق Arap كانوا يعتمدون على سياسات البريد الإلكتروني الأوسع لوزارة الدفاع ولم يتلقوا أي توجيهات أو تدريب محدد يتعلق بالمخاطر الأمنية لإرسال رسائل بريد إلكتروني جماعية تحتوي على معلومات حساسة.
في أعقاب الاختراق، شرعت وزارة الدفاع في تحديث سياسات وعمليات البريد الإلكتروني في Arap، بما في ذلك تنفيذ ما يسمى بسياسة “الزوج الثاني من العيون” للتحقق من رسائل البريد الإلكتروني المرسلة إلى القوائم. تدرك شركة Computer Weekly أنها أجرت تغييرات أخرى، على الرغم من أنه لم يتم الكشف عنها في الوقت الحالي، ومن المرجح أن تحافظ على الأمن التشغيلي. تم تخفيض الغرامة بشكل كبير من مليون جنيه إسترليني على هذا الأساس.
وقال متحدث باسم وزارة الدفاع: “إن وزارة الدفاع تأخذ التزاماتها المتعلقة بحماية البيانات على محمل الجد بشكل لا يصدق. لقد تعاوننا على نطاق واسع مع ICO طوال تحقيقاتهم لضمان التوصل إلى حل سريع، ونحن ندرك خطورة ما حدث. نحن نعترف تمامًا بالحكم الصادر اليوم ونعتذر للمتضررين.
وأضاف: “لقد قدمنا عددًا من الإجراءات للعمل بناءً على توصيات ICO”.
