İskoç biyometri komiseri, İskoçya Polisi’ne, büyük veri koruma endişelerine rağmen hassas biyometrik verileri depolamak ve işlemek için hiper ölçekli genel bulut altyapısını kullanan, kuvvet tarafından kullanılan bulut tabanlı dijital kanıt paylaşım sistemiyle ilgili süregelen endişelerini ana hatlarıyla belirten bir yazı yazdı.
Nisan 2023’ün başında Computer Weekly, İskoç hükümetinin – teslimat için vücutta taşınan video sağlayıcısı Axon ile sözleşme imzalanan ve Microsoft Azure’da barındırılan – Dijital Kanıt Paylaşım Yeteneği (DESC) hizmetinin, polis gözlemcisinin bu saldırının nasıl gerçekleştiğine dair endişelerini dile getirmesine rağmen pilot olarak çalıştırıldığını açıkladı. Azure’un kullanımı “yasal olmayacaktır”.
Sistemin genetik ve biyometrik bilgileri işleyeceğine dikkat çeken İskoç Polis Kurumu’nun (SPA) Veri Koruma Etki Değerlendirmesi’ne (DPIA) göre sistem, veri sahiplerinin haklarına yönelik çeşitli riskler taşıyor.
Bu, ABD hükümetinin bulutta ABD şirketleri tarafından herhangi bir yerde saklanan her türlü veriye etkili bir şekilde erişmesine olanak tanıyan Bulut Yasası yoluyla ABD hükümetine erişim potansiyelini de içerir; Microsoft’un spesifik sözleşmeler yerine genel sözleşmeleri kullanması; ve Axon’un veri egemenliğine ilişkin sözleşme hükümlerine uyma konusundaki yetersizliği.
Computer Weekly’nin haberlerinin ardından İskoç biyometri komiseri Brian Plastow, İskoçya Polisi’ne (sistemin baş veri kontrolörü) 22 Nisan 2023’te resmi bir bilgi bildirimi göndererek polisin sistem kullanımının Bölüm 1’e uygun olduğunu göstermesini talep etti. Birleşik Krallık’ın kolluk kuvvetlerine özel veri koruma kurallarını içeren Veri Koruma Yasası 2018’in (DPA 18) üçü.
Plastow özellikle biyometrik veri aktarımlarının gerçekleşip gerçekleşmediğini, hangi türlerin aktarıldığını, hangi hacimlerde aktarıldığını ve verilerin hangi ülkede barındırıldığını sordu.
Komiserin resmi bildirimine yanıt veren İskoçya Polisi, Temmuz 2023’te “bu pilot uygulama sırasında DESC’ye önemli miktarda görüntü yüklediğini” doğruladı. Ayrıca komisyon üyesine “verilerin Microsoft Azure Birleşik Krallık veri merkezinde barındırılmadan önce DESC çözümü tarafından şifrelendiği” güvencesini verdi.
Plastow İskoçya Polisi’ne cevap yazıyor
5 Ekim tarihli bir mektupta İskoçya Polisi’ne yazan Plastow, polis teşkilatının yanıtının faydalı olduğunu ancak hassas biyometrik verilerin DESC’ye yüklenmesiyle ilgili “özel kaygılarımı gidermediğini” kaydetti.
“Birincil endişe, İskoç hükümetinin hassas biyometrik verileri (ve diğer emniyet verilerini) barındırmak için (Birleşik Krallık veya AB bulut sağlayıcısı veya bulut dışı bir çözüm yerine) ‘ABD merkezli’ bir çözüm sağlayıcısını tercih etmesidir. söz konusu verilere ilişkin veri şifreleme anahtarlarının (İskoçya Polisi yerine) Axon tarafından tutulmasına onay verilmesi durumunda, söz konusu veriler, 2018 tarihli Verilerin Yasal Yurtdışı Kullanımının Açıklığa kavuşturulması Yasası (ABD Bulut Yasası) ve ilgili ABD hükümlerine tamamen maruz kalır. ve Birleşik Krallık veri erişim anlaşması” diye yazdı.
“Bu tür Birleşik Krallık/ABD düzenlemeleri kaçınılmaz olarak veri güvenliği, veri gizliliği ve ihlal bildirimine ilişkin farklı yasal gereklilikleri içerir. Ayrıca ABD Bulut Yasasının erişim alanının dünyanın her yerine uzandığının ve bu nedenle Police Scotland verilerini barındıran DESC sunucularının fiziksel olarak Birleşik Krallık’ta bulunabilmesinin önemsiz olduğunun farkında olacaksınız.
Biyometrik verilerin DESC’ye yüklenmesinin, İskoçya’nın yasal Biyometrik Uygulama Kuralları’nın 10. İlkesini potansiyel olarak ihlal edebileceğini de sözlerine ekledi; bu Kurallar, özellikle biyometrik bilgilerin yetkisiz erişime ve ifşa edilmeye karşı korunması ihtiyacı etrafında dönüyor ve “en yüksek kaliteyi teşvik etme” yükümlülüğünü de beraberinde getiriyor. gizliliği artıran teknoloji.”
Plastow ayrıca mektupta, İskoçya Polisi’ne Kasım 2023’ün sonuna kadar tamamlaması için bir Uygulama Kuralları anketi gönderdiğini doğruladı; bu soru kısmen biyometrik verileri depolamak ve işlemek için ABD genel merkezine sağlanan bulut tabanlı sistemlerin kullanımına ilişkin bilgi arıyor. ve bu verilerin güvenliğinin ve egemenliğinin nasıl korunduğuna dair onay.
Ayrıca, ofisinin, İskoçya Polisi’nin 2023 kışında biyometrik verileri yönetmeye uygun olup olmadığını görmek için ele almasıyla ilgili “ayrı ama ilgili bir güvence incelemesi” yürüteceğini yineledi.
Komiser, sistemle ilgili sorunların dile getirilmesinden önce Aralık 2021’de genel bir güvence incelemesi yapma niyetini zaten belirtmiş olsa da, mektupta, biyometrinin bir parçası olarak DESC’ye yüklenmesi hakkında özellikle ek bilgi arayacağını ekledi. bu süreç.
“Mevcut pilot uygulamada biyometrik verilerin yüklenmesi devam ettirilirse, genişletilirse veya genişletilirse, biyometrik verilerin Polis İskoçya tarafından DESC’ye yüklenmesinin Uygulama Kurallarına uygun olup olmadığı konusunda Yeni Yılın başlarında bir tespite varılacağını tahmin ediyorum.” dedi. “Bunun böyle olmadığına dair herhangi bir tespit, İskoçya Parlamentosu’na bunun yapılmaması hakkında bir rapor sunmamı ve İskoç Biyometri Komiserliği Yasası 2020’de ayrıntılı olarak belirtildiği gibi potansiyel olarak daha ileri adımlar atmamı gerektirecektir.”
Güvenlik ve egemenlik
Kaygılarını daha da detaylandıran Plastow, İskoç biyometrik verilerinin ABD bulut sağlayıcılarına ve veri işleyicilerine aktarılmasının, bunların İskoçya’dan tamamen yönetilemeyeceği anlamına geldiğini açıkladı.
“Eğer ABD federal yetkilileri, İskoç biyometrik verilerinin ABD Bulut Yasası hükümleri uyarınca teslim edilmesi için Axon ve/veya Microsoft’a ifşa etmeme talimatıyla birlikte bir tutuklama emri veya mahkeme celbi çıkarsaydı, o zaman İskoçya Polisi muhtemelen bundan haberi bile olmayacaktı. onların verilerine (bir kişi veya kişilerin hassas verileri) erişildi ve aslında yabancı bir devlet tarafından ele geçirildi” diye yazdı ve hiçbir üçüncü tarafın, Police Scotland’a ait biyometrik verilere onun bilgisi ve onayı olmadan erişememesi gerektiğini ekledi. veya açık rıza.
“Bu, İskoçya Polisi’ne ait biyometrik verilerin, yabancı bir yargı bölgesinin yasal gereklilikleri ve ifşa etmeme talimatları uyarınca üçüncü taraf bir yüklenici tarafından teslim edilmesini önlemek için gerekli bir önlemdir.”
Veri güvenliği konusunda Plastow, “Polis İskoçya’nın DESC içindeki veri şifreleme anahtarlarının tam kontrolünü (veya bu durumda herhangi bir kontrolünü) elinde bulundurmadığı durumlarda” genel bulut altyapısında depolanan son derece hassas biyometrik verilerin güvenliğinden endişe duyduğunu ekledi. SPA DPIA’ya göre Axon’un elindedir.
“Bu son derece hassas biyometrik veriler, örneğin tecavüz veya cinsel saldırı mağdurunun yaralanmaları gibi suç mağdurlarının görüntülerinin yanı sıra herhangi bir suç veya suçtan dolayı suçlanmış ancak henüz mahkum edilmemiş kişilerin görüntülerini de içerebilir.” Microsoft tarafından kontrol edilen dijital altyapının tehlikeye girdiği bir dizi veri ihlali örneğini yazdı, özetledi ve bunlara bağlantı verdi.
“Bu örnekler, ‘herhangi bir’ hassas veriyi genel bulut altyapısında saklarken dikkate alınması gereken büyük risklerin bulunduğunu gösteriyor… Daha genel olarak, Birleşik Krallık polis teşkilatına yönelik, bulut ve bulut dışı altyapıyı içeren son siber saldırılardan da haberdar olacaksınız; parti yüklenicilerinin güvenlik açıkları polisliğin itibarına zarar verdi.”
Plastow, veri güvenliğiyle ilgili bölümü, bu tür vakaların “verilerin ve özellikle de hassas biyometrik veriler gibi yasa uygulama verilerinin dış yüklenicilere ‘dış kaynaklardan sağlanmasının’ olağanüstü derecede riskli bir çaba olduğuna dair ampirik kanıtlar sağladığını” belirterek sonlandırdı.
Mektuba yanıt veren İskoçya Polisi sözcüsü şunları söyledi: “Biyometri komiseri tarafından gönderilen mektubun içeriğini kabul ediyoruz ve endişelerine zamanı gelince yanıt vereceğiz.
“İskoçya Polisi, sistemin daha da geliştirilmesini desteklemek için sağlam, etkili ve güvenli süreçlerin mevcut olmasını sağlamak amacıyla İskoç hükümeti ve ceza adaleti ortaklarımızla yakın işbirliği içinde çalışmaya devam ediyor.
“Aynı zamanda İskoçya’nın ceza adaleti sisteminin dönüşümünü desteklemek amacıyla Dijital Kanıt Paylaşımı Yeteneğini geliştirirken biyometri komiseri, Bilgi Komiserliği Ofisi ve ilgili ortaklarla da bağlantı kurmaya devam ediyoruz.”
Daha geniş endişeler
Plastow, endişelerinin DESC sistemiyle sınırlı olmadığını ve aynı zamanda Birleşik Krallık genelindeki diğer bulut tabanlı kolluk kuvvetleri sistemleri ve veritabanlarını da kapsadığını ekledi.
Örnek olarak, Polis Dijital Hizmetinin (PDS) ve Home Office Biometrics’in (HOB), Birleşik Krallık kolluk kuvvetleriyle entegre olan “ABD merkezli” Amazon Web Services (AWS) tarafından desteklenen PDS Xchange platformunu tanıttığına özellikle dikkat çekti. Nisan 2022’den beri parmak izi veritabanı IDENT1.
Kendisi şunları söyledi: “Birleşik Krallık veri koruma yasasına uyumla ilgili bu tür konularda tavsiyelerde bulunmak ICO’ya aittir, ancak IDENT1’de 831.000’den fazla İskoç parmak izi formu bulunduğundan ve İskoçya’nın tüm sisteme erişimi olduğundan, bu tür Birleşik Krallık kararları ‘ ‘ABD merkezli’ bir bulut çözümündeki denizaşırı’ biyometrik veriler aynı zamanda İskoçya için de potansiyel yetki devri sonuçları doğuruyor”.
Ulusal polislik sistemleri sağlamada 20 yıldan fazla deneyime sahip bağımsız bir güvenlik danışmanı ve kurumsal mimar olan Owen Sayers’a göre, İskoçya Polisi tarafından kullanılan ya da verilerini başka şekilde kullanan önemli sayıda İçişleri Bakanlığı sistemi var ve bunların çoğu şunları içerecektir: biyometri: “Sonuç olarak Plastow’un endişeleri, daha geniş bir alana baktığında muhtemelen Xchange sisteminin ötesine geçecektir.”
Şöyle ekledi: “Bu, elbette, İngiltere ve Galler polis bakanının pasaport ve ehliyet veritabanlarının polisin yüz tanıma kullanımına açılmasına ilişkin son duyurusunu daha da ilginç ve karmaşık hale getiriyor; İskoç yasalarının ve biyometri Uygulama Kurallarının dikkate alınması gerekecektir ve Westminster görüntülerin bu şekilde yeniden kullanılmasına izin veren bir yasa çıkarsa bile, verilerin İngilizce ve Galce kullanımı ile İskoç kullanımı arasında nasıl farklılaştırılacağı hemen belli değildir. yeterince tartışmalı.”
Computer Weekly, vatandaşlarının verilerinin yasal olarak sorgulanabilir hiper ölçekli kamuya açık bulut altyapısına yerleştirilmesi konusunda ilgili İskoç yetkililerine danışıp danışmadığı konusunda İçişleri Bakanlığı ile temasa geçti, ancak yayınlandığı tarihe kadar herhangi bir yanıt alamadı.
Plastow ayrıca İngiltere ve Galler’den sorumlu mevkidaşı Fraser Sampson’un da kolluk kuvvetleri verilerinin işlenmesi için bu tür bulut altyapısının kullanılmasının yasallığı konusunda benzer endişeleri paylaştığını belirtti.
Örneğin Nisan 2023’te Sampson, polislik ve adalet kurumlarının bulut dağıtımlarının yasal olduğunu “hemen ve net bir şekilde” gösterebilmeleri gerektiği konusunda uyardı.
“Bulut, aslında size sistem hakkında hiçbir şey anlatmayan, son derece yumuşak bir örtmecedir” dedi. “Bilmek istediğiniz şu: ‘Verilerim hangi ülkede saklanıyor ve bu ne anlama geliyor?’. Bu gerçekten basit. Peki buna kötü niyetle ya da hukuki yollardan erişilmesinin riskleri nelerdir?”
Sampson, polislik ve adalet kurumlarının da belirli tedarikçilere ve sistemlere aşırı derecede güvenmenin yaratabileceği risklerin bilincinde olması gerektiğini ekledi: “Operasyonel polislik ve kolluk kuvvetleri açısından bu sistemlere giderek daha fazla bağımlılık yaratıyoruz ve bu sistemlerde bağımlılık, risk yaratırsınız.
Mektup boyunca Plastow, Bilgi Komiserliği Ofisi’nin (ICO), genel olarak kolluk kuvveti verilerinin depolanması ve işlenmesine yönelik hiper ölçekli genel bulut altyapısının yasallığı konusunda henüz resmi bir görüşe sahip olmadığı gerçeğine de değindi.
ICO daha önce Computer Weekly’ye, ilgili veri denetleyicileriyle devam eden görüşmeleri nedeniyle sorunları tam olarak görmesine rağmen, bu tür sistemlerin Birleşik Krallık kolluk kuvvetleri tarafından kullanılmasına yönelik hiçbir zaman resmi düzenleyici onay vermediğini doğrulamıştı.
Örneğin SPA’nın Bilgi Edinme Özgürlüğü (FOI) Yasası uyarınca ICO ile yaptığı yazışmalarda düzenleyici, risk değerlendirmelerine büyük ölçüde katılıyordu. Örneğin, uluslararası aktarım gereksinimleriyle ilgili olarak, ABD hükümetinin Bulut Yasası yoluyla yapılan veri talebi gibi, Axon veya Microsoft tarafından ABD’den sağlanan teknik desteğin uluslararası bir veri aktarımı oluşturacağını kaydetti.
ICO, “Bu transferlerin uyumlu bir transfer için gerekli koşulları karşılaması pek olası değil” dedi. “Veri koruma yasasının olası bir ihlalini önlemek için, Birleşik Krallık merkezli teknik destek arayarak kişisel verilerin Birleşik Krallık’ta kalmasını sağlamanızı şiddetle tavsiye ediyoruz.”
Şunları ekledi: “DPIA’nızda hafifletilemeyen yüksek bir risk kaldıysa, DPA 2018’in 65. bölümü uyarınca ICO ile önceden istişarede bulunulması gerekmektedir. Bize danışmadan işleme devam edemezsiniz.”
Computer Weekly, bu bulut sistemlerinin kolluk kuvvetlerinin veri depolaması ve işlemesi için kullanılmasının yasallığı konusunda resmi bir karara ne zaman varılacağı konusunda bir zaman çizelgesi sağlayıp sağlayamayacağını sormak için ICO ile temasa geçti, ancak yayınlanma tarihine kadar herhangi bir yanıt alamadı.