جاد خرق البيانات في وزارة الدفاع في المملكة المتحدة ، تم الكشف عنها لأول مرة اليوم بعد رفع وظيفة خارقة منع وسائل الإعلام من مناقشة القضية، تعرض البيانات الشخصية ، وحياة الآلاف من المواطنين الأفغانيين الذين يسعون إلى الانتقال إلى المملكة المتحدة لحمايتهم من انتقامات طالبان بعد أن استعادت المجموعة السيطرة على البلاد في عام 2021 ، بعد عقدين من طردهم بعد هجمات 11 سبتمبر الإرهابية.
نشأ الحادث السيبراني في أوائل عام 2022 عندما كانت مجموعة بيانات تحتوي على تفاصيل لأكثر من 18000 شخص يتقدمون بطلب للحصول على اللجوء بموجب سياسة النقل والمساعدة الأفغانية (ARAP) ، وأفغانستان الموظف محليًا ، تم إطلاقها على مخطط Ex-Gratia (EGS) على أساس الخطأ.
لقد ظهر الآن بعد حوالي 18 شهرًا ، اكتشف وزارة الدفاع أن جزءًا من مجموعة البيانات المتعلقة بتسعة أفراد قد تم نشره على منصة التواصل الاجتماعي على Facebook.
خوفًا من العواقب إذا كانت هذه البيانات ستقع في أيدي طالبان ، تم منح وظيفة خارقة في سبتمبر 2023 ضد منافذ متعددة بما في ذلك The Daily Mail و The Daily Telegraph و The Financial Times و The Independent و The Press Association و التايمز، منعهم من الإبلاغ عن تفاصيل الحادث.
ويأتي رفع الوظيفي الفائق بعد تقرير المراجعة الذي أعده الموظف المدني السابق بول ريمر. وخلص هذا التقرير إلى أنه إذا سقطت مجموعة البيانات في أيدي طالبان ، فمن غير المرجح أن يغير بشكل كبير التعرض الحالي للفرد “بناءً على حجم البيانات الموجودة بالفعل في المجال العام.
اعتبر تقرير Rimmer أيضًا أنه “من غير المحتمل” أن حقيقة إدراج الفرد في مجموعة البيانات ستكون أسبابًا لاستهداف الأفراد المذكورين أو زملائهم أو أسرهم من قبل طالبان.
إلى جانب الوظيفة الخارقة ، أدى الحادث أيضًا إلى إنشاء طريق لإعادة التوطين الأفغاني السري-الذي يطلق عليه مسار استجابة أفغانستان (ARR) ، لتتبع إعادة توطين ما مجموعه حوالي 200 من المتقدمين الرئيسيين ، بعد ذلك إلى 3000.
تم إغلاق هذا الطريق ، اعتبارًا من اليوم ، بعد أن نقل حوالي 900 من المتقدمين الرئيسيين و 3600 من أفراد الأسرة بتكلفة 400 مليون جنيه إسترليني ، على الرغم من أن الحكومة أكدت أن عروض ARR التي تم تقديمها إلى حوالي 600 مديرة أخرى وعائلاتهم الذين يبقون في أفغانستان سيتم تكريمهم إذا تم الاستيلاء عليها. من المحتمل أن التكلفة النهائية لـ ARR ستضاعف.
في بيان شفهي إلى مجلس العموم ، قال وزير الدفاع بن هيلي: “إنه [the database] تحتوي على أسماء وتفاصيل الاتصال للمتقدمين – وبعض الحالات ، والمعلومات المتعلقة بأفراد أسرة المتقدمين. في عدد صغير من الحالات … أسماء أعضاء البرلمان ، وقد لوحظ كبار الضباط العسكريين والمسؤولين الحكوميين على أنهم يدعمون الطلب.
وقال الوزير: “كان هذا خطأً خطيرًا في الإدارات. لقد كان في خرق واضح لبروتوكولات حماية البيانات الصارمة. وكان أحد خسائر البيانات المتعددة المتعلقة بمخطط ARAP خلال هذه الفترة”.
وقال هيلي لـ Commons إنه تم اتخاذ إجراءات سويفت لإزالة البيانات المكشوفة من Facebook ، وتم تثبيت تحقيق داخلي ، وتم إجراء تقارير إلى مكتب مفوض المعلومات (ICO) وشرطة متروبوليتان ، التي لم تحدد أي تحقيق جنائي ضروري.
وقال هيلي: “لا ينبغي أن يحدث حادث البيانات الخطيرة هذا”. “ربما حدث ذلك قبل ثلاث سنوات في ظل الحكومة السابقة ، ولكن بالنسبة إلى كل من تعرضت معلوماتهم للخطر ، أقدم اعتذارًا صادقًا اليوم نيابة عن الحكومة البريطانية.”
أنشأت الحكومة أ ميكروسيت مخصص يتعلق بالحادث، حيث يمكن لأولئك الذين قد يتعرضون للتحقق مما إذا كانوا قد تأثروا ، والوصول إلى إرشادات حول الحفاظ على أمن الإنترنت الخاص بهم.
“لا يزال الخطأ البشري بمثابة مخاطر إلكترونية كبيرة ، كما تم تسليط الضوء عليها من خلال رسالة بريد إلكتروني خاطئ واحد تعرض الآلاف من التفاصيل الشخصية” ، قال ESET مستشار الأمن السيبراني العالمي جيك مور.
“على الرغم من أن الأشخاص لا يتجاوزون انتهاكات البيانات دائمًا ، إلا أنهم غالبًا ما يكونون سبب فقدان البيانات أو الهجمات الإلكترونية ، مما يعزز فقط الحاجة إلى ضمانات تقنية أقوى وتدريب المستخدم.
وقال مور: “قد تكون إضافة السرية المعززة داخل المنظمة قد أدت أيضًا إلى تفاقم المشكلة ، لكن الافتقار إلى البروتوكولات المناسبة يكشف في النهاية عن ضعف أساسي في دفاعات النظام”. “حتى الخطأ البشري الأساسي يمكن أن يقوض حتى عمليات الأمن القومي الأكثر حساسية.”
تاريخ التعرض
أحدث خرق يتم الكشف عنه ليس هو الأول الذي أثر على برنامج ARAP ، على الرغم من أنه الأكثر خطورة بهامش كبير.
في سبتمبر 2021 ، تم إجبار وزارة الدفاع على الكشف عن أن حوالي 305 فردًا قد تعرضوا لبياناتهم في حادثين منفصلين.
في الاختراق الأول ، شهد خطأ داخلي في وزارة الدفاع عناوين البريد الإلكتروني وأسماء 250 مترجمًا أفغانيًا ينتظرون نقل النقل في جسم بريد إلكتروني. تضاعف العديد من المستفيدين – معظمهم من المترجمين الفوريين الذين عملوا مع القوات البريطانية أثناء احتلال وطنهم – الخطأ من خلال ضرب وظيفة “الرد على جميع” ، وربما يعرضون تفاصيل مواقعهم وحالاتهم.
في الحادث الثاني ، الذي تم الكشف عنه بعد يومين فقط ، شاهدت عناوين البريد الإلكتروني وأسماء 55 فردًا ، مكشوف في خطأ مماثل.
في ديسمبر 2023 ، اتخذ مكتب مفوض المعلومات (ICO) خطوة من تغريم وزارة الدفاع 350،000 جنيه إسترليني – بدافع الخطوة مع سياستها المعتادة المتمثلة في عدم غرابة القطاع العام أو الهيئات الحكومية – بالنظر إلى المخاطرة على الحياة التي وضعها الحادث.
وجد تحقيق ICO أن ARAP كان يعمل على عكس إرشادات ICO التي يجب على المنظمات أن تضع تدابير تقنية لتجنب الكشف عن البريد الإلكتروني بالجملة العرضية.
لقد فشلت في تنفيذ أي تدابير من هذا القبيل وكان يعتمد بدلاً من ذلك على الموظفين الذين يتذكرون استخدام وظيفة نسخة الكربون العمياء (BCC) ، وهو لا يعد إجراءًا وقائيًا مناسبًا.
