توبيخ مكتب عمدة لندن بسبب خرق البيانات
مكتب عمدة لندن للشرطة والجريمة تعرضت شركة Mopac، التي تشرف على قوة شرطة العاصمة لندن، للتوبيخ من قبل مكتب مفوض المعلومات (ICO) بسبب خطأ ربما كشف البيانات الشخصية للأشخاص الذين كانوا يتصلون بها لتقديم شكوى بشأن القوة.
ويقال إن هذه المشكلة أثرت على ما يقرب من 400 شخص، وقد تم الآن إخطارهم جميعًا بانتهاكات محتملة للبيانات الشخصية. لقد نشأت من خلال نموذجي اتصال مختلفين على موقع Mopac الإلكتروني العام.
قال أنتوني لوهمان، مدير ICO: “استخدم الناس هذه النماذج لسببين: تقديم شكوى ضد شرطة العاصمة، أو الاتصال بمفوض الضحايا في لندن بشأن الطريقة التي عوملوا بها”.
“وهذا يعني أن المعلومات الشخصية والحساسة للغاية كان من الممكن رؤيتها علنًا. لقد كان هذا خطأ يمكن تجنبه تمامًا ومن شأنه أن يعرض ثقة الجمهور في نظام العدالة الجنائية للخطر.
وقالت إنه في الفترة ما بين 11 و14 نوفمبر 2022، حاول أحد أعضاء هيئة لندن الكبرى (GLA) منح أربعة من موظفي Mopac الإذن للوصول إلى المعلومات التي تم تقديمها بالفعل عبر نماذج الويب. ولسوء الحظ، قام الموظف بدلاً من ذلك بجعل الوصول إلى نماذج الويب عامًا.
استغرق الأمر ما يزيد قليلاً عن شهرين، حتى 23 فبراير 2023، قبل أن يصبح أحد أفراد الجمهور على علم بالمشكلة ويبلغ Mopac، التي بدأت تحقيقًا ووجدت لاحقًا أن المستخدمين تمكنوا من رؤية كل ما تم تقديمه عبر النموذج، بما في ذلك الأسماء والعناوين وسبب تقديم الشكوى في المقام الأول.
تم الكشف عن البيانات المتعلقة بإجمالي 394 مشتكي بهذه الطريقة، ولكن لا يوجد دليل على أن أي شخص آخر تمكن من الوصول إليها في أي مرحلة خلال الفترة التي كانت فيها عرضة للخطر.
وقال لوهمان: “أنا مقتنع بأن هذا كان خطأً صريحًا، كما أنني سعيد بالخطوات العلاجية التي اتخذتها شركة Mopac منذ الانتهاك، والتي تشمل توفير تدريب إضافي للموظفين لمنع أي حوادث متكررة”.
“ومع ذلك، من المهم أن تتعلم الهيئات العامة من هذا الحادث. يجب أن يكون الجمهور قادرًا على الثقة في أنه سيتم التعامل مع بياناتهم الحساسة بأقصى قدر من العناية، خاصة عندما يتعلق الأمر بالجريمة.
كما هو معتاد الآن في مثل هذه الحالات التي تسببت فيها إحدى هيئات القطاع العام في حدوث خرق للبيانات أو تعرضت لها، فإن إصدار ICO للتوبيخ بدلاً من العقوبة المالية هي سياسة مستمرة يعود تاريخها إلى عام 2022، عندما تم تقديمه كتدبير تقديري مؤقت لمدة عامين، جزئيا على أساس أن معاقبة مؤسسات القطاع العام تجبر دافعي الضرائب في الأساس على تسليم المزيد من الأموال لتغطية الغرامة.
ومع ذلك، فإن السياسة وقد تعرض لانتقادات من قبل خبراء القانون والأمن السيبراني، لا سيما في قضيتين، إحداهما تتعلق بشرطة تيمز فالي، والأخرى بوزارة العدل، بسبب إخفاقات عرضت السلامة الجسدية للشهود والسجناء للخطر.
ومن المقرر أن تنتهي الفترة التجريبية في يونيو 2024، حيث قال مفوض المعلومات جون إدواردز سابقًا إنه سيعيد النظر فيها، وربما يلغيها إذا لم تحدث التحسينات المطلوبة في أمن القطاع العام وحماية البيانات.
لم يستجب مكتب عمدة لندن بعد لطلب التعليق من Computer Weekly في وقت النشر.