Coğrafi Odak: Birleşik Krallık, Coğrafi Özel, Olay ve İhlale Müdahale
İhlallerin Mağdurların Yaşamları Üzerinde Çoğu Zaman Zararlı, Az Bildirilen ‘Dalgalanma Etkisi’ Vardır
Mathew J. Schwartz (euroinfosec) •
1 Kasım 2024
Çok fazla ihlale maruz kalan kuruluş, insanların kişisel verilerinin yanlış kullanılmasının etkilenen bireyler üzerinde yaratabileceği zararlı etkiyi kabul edemiyor.
Ayrıca bakınız: Olaya Müdahale Durumu 2021: Güven Artırma Zamanı
Britanya’nın mahremiyet gözlemcisi, ihlal edilen kuruluşlara daha fazla “empati ve harekete geçme” çağrısında bulunuyor.
Britanya’nın bilgiden sorumlu komisyon üyesi John Edwards, “Ülke genelindeki kuruluşlara kesin bir uyarıda bulunmak istiyorum: Daha iyisini yapmalısınız” dedi. “Kuruluşların, zararın ihlalle bitmediğini, ihlalin yalnızca burada başladığını anlaması gerekiyor.”
Birleşik Krallık’taki yetişkinlerin yarısından biraz fazlasının (yaklaşık 30 milyon kişi) kişisel verileri kayboldu veya çalındı. Genellikle duygusal sıkıntı ortaya çıkar. İhlal mağdurlarının dörtte biri, kişisel bilgilerinin kontrolünü kaybeden kuruluştan “hiçbir destek almadıklarını” söyledi.
Hükümet kurumu 2022 ve 2023’te yedi kuruluşu, “aile içi şiddet mağdurlarının hayatlarını riske atan” veri ihlalleri nedeniyle kınadı; bir kaç vakada, bir kişinin “güvenli” adresinin istismarcıya ifşa edilmesi de buna dahil. Olayların “bir hukuk firması, bir konut derneği, bir NHS vakfı, bir hükümet departmanı, yerel konseyler ve bir polis teşkilatı” gibi kuruluşlara kadar takip edildiği belirtildi.
Bir ihlalin ardından ihanet duygusu yaygındır. Veri ihlallerinin üçte birinde düzenleyici, bireylerin verilerini kaybeden kuruluş tarafından yapılan bir ihlal hakkında doğrudan bilgilendirilmek yerine, bunu ilk olarak bir medya raporundan duyduğunu tespit etti.
ICO, ihlale uğrayan kuruluşların, özellikle de iletişimlerinin netliği ve dürüstlüğü yoluyla, mağdurlar için işleri düzeltme görevini yerine getirmede başarısız olduklarını söyledi. Edwards, “Veri koruması hiçbir zaman bilgisayarlarla veya robotlarla ilgili olmadı; insanlarla ilgili” dedi. “Bunun kişisel ve duygusal bedeli sıklıkla göz ardı ediliyor.”
Veri koruma yetkilisi, kuruluşların ihlal sonrasında hızlı bir şekilde harekete geçmesini, neyin yanlış gittiğini ve kişisel bilgileri açığa çıkan kişilere yönelik riskleri değerlendirmesini istiyor. Ve baştan sona “insan ve erişilebilir” olun.
ICO tarafından vurgulanan ihlal eksiklikleri, ileriye yönelik planlamanın ve uygulamanın önemli olduğunu hatırlatır. Laura Gillespie, “Kuruluşların, ihlalin doğasını ve bundan kimlerin etkilendiğini anlamak için verimli ve etkili bir şekilde müdahale etmelerini sağlamak ve böylece bireylerle yapılacak her türlü iletişimin uygun şekilde hazırlanmasını sağlamak için açık olay müdahale planlarına sahip olması gerekir” dedi. Londra merkezli hukuk firması Pinsent Masons’ın ortağı bir blog yazısında.
Empati Çağrısı
Mağdurlara daha iyi destek sağlamak için ICO, İngilizce ve Galce dilinde mağdur odaklı “basit kılavuz” hazırladı. Devlet kurumu ayrıca kurumsal kültür eksikliklerini gidermek, özellikle de “empatinin yanıtınızın merkezinde yer almasını sağlamak” için tasarlanmış bir araç seti hazırladı.
ICO’nun kuruluşların dahili olarak dağıtılması için önerdiği mesajın bir kısmı, “Bir veri ihlali, insanların hayatlarını birçok kişinin asla tahmin edemeyeceği şekillerde bozan geniş kapsamlı bir dalgalanma etkisine sahip olabilir” diyor. “Bunun olmasını engellemekte sizin de oynayacağınız bir rol var.”
İhlalleri ihlal eden kuruluşlardan daha fazla empati yapılması ve ihlallerin bireyler açısından sonuçları konusunda farkındalık çağrısı, ülkenin bir dizi kişisel ve bazen olağanüstü derecede hassas bilgileri açığa çıkaran çok sayıda veri ihlali kaydetmesiyle birlikte geliyor.
Bu yılın başlarında fidye yazılımı kullanan saldırganlar İskoç çocukların ruh sağlığı verilerini sızdırdı. Temmuz’dan Eylül’e kadar ICO’ya bildirilen güvenlik olayının en son açıklanan ayrıntılarına göre, olayların en yaygın olduğu sektör, tüm raporların beşte birini oluşturan sağlık sektörüydü.
Siber Olmayan İhlal Nedenleri Baskın
Ancak veri ihlallerinin çoğunluğunun harici saldırganlarla hiçbir ilgisi yoktur. ICO’nun en son üç aylık raporu, veri ihlallerinin %71’inin “kötü niyetli” birinin eylemlerinden ziyade bilgilerin yanlış kişiye gönderilmesi gibi siber olmayan nedenlerden kaynaklandığını ortaya çıkardı.
Geçtiğimiz yıl, Kuzey İrlanda Polis Teşkilatı yanlışlıkla tüm işgücünün kişisel ayrıntılarını ifşa etti ve mezhepsel gerilimler devam ederken her memuru ve personeli kişisel risk altına soktu. ICO, Savunma Bakanlığı’nın yanlışlıkla e-posta adreslerini “bcc” alanı yerine “kime” alanına dahil ederek “hayatlarını riske atarak” ifşa etmesinin ardından Afganistan’da 245 kişiyi etkileyen bir başka olaydan bahsetti. .
ICO, ihlale uğrayan kuruluşların sıklıkla bu tür olayları “geçici bir aksaklık, teknik düzeltmeler ve uyumluluk incelemeleriyle düzeltilebilecek bir şey” olarak değerlendirdiğini söyledi. “Fakat bireylerin – özellikle de savunmasız durumda olanların – bakış açısından bakıldığında, bir ihlal, bazılarının tam olarak takdir edemeyeceği şekillerde hayatlarını bozan geniş kapsamlı bir dalgalanma etkisine sahip olabilir.”