Olay ve İhlale Müdahale, Güvenlik Operasyonları
Bağımsız İnceleme Kuzey İrlanda Polis Teşkilatına 37 Tavsiye Yayımladı
Mathew J. Schwartz (euroinfosec) •
12 Aralık 2023
Kuzey İrlanda yetkilileri, ağustos ayında meydana gelen ve tüm polis memurlarının ve personelin soyadlarını, rollerini ve konumlarını açığa çıkaran veri ihlali sonrasında çok sayıda veri koruma değişikliği uygulama sözü veriyor.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
İyileştirmelere yönelik ayrıntılı öneriler Pazartesi günü, Kuzey İrlanda Polis Teşkilatı Kurulu ve Eylül ayında istifa eden Kuzey İrlanda Polis Teşkilatının baş emniyet müdürü Simon Byrne tarafından ortaklaşa yaptırılan bağımsız bir inceleme biçiminde geldi.
Kısmen düzeltilmiş bir biçimde yayınlanan “İçeriden Koruma” raporundaki öneriler arasında şunlar yer alıyor: “Veri, bilgi ve siber güvenliğe” öncelik verme konusunda hesap verebilirliği artırmak için temel performans göstergelerini kullanın; bilgi edinme özgürlüğü taleplerini ele almak için bir iş akışı yönetim sistemi benimsemek; mevcut veri kaybı önleme yazılımını değiştirin; bir veri okuryazarlığı eğitim programı geliştirmek; ve bunun duyurulmasına yardımcı olacak iç savunucuları arayın.
Bu göreve Eylül ayında atanan ve polis kurulu tarafından Kasım ayında onaylanan PSNI Emniyet Müdürü Jon Boutcher, yaptığı açıklamada, kurul ve kendisinin “bulguları ve yapılan 37 tavsiyeyi tamamen sindirip tartışmak için biraz zaman ayıracağını” söyledi. uygulamaya yönelik bir eylem planı üzerinde anlaşmaya varılabilir.”
PSNI web sitesi, 8 Ağustos’ta üç saate kadar bir süre boyunca tüm memur ve personelin adlarının baş harflerini, soyadlarını, rollerini ve konumlarını içeren bir elektronik tabloya ev sahipliği yaptı. Bilgi Edinme Özgürlüğü Yasası talebine verilen yanıtta yer alan e-tabloda ev adresleri yer almıyordu. Uzun süren mezhepsel gerginlikler, birçok polis memurunun ve sivil çalışanın, özellikle de aile üyelerine bile söylemeyebilecek Katolik cemaati üyelerinin işlerini kamuya açık bir şekilde saklamasına yol açtı.
Ortak bağımsız incelemenin şartları arasında, tüm “organizasyon, yönetim veya yönetişim” eksiklikleri de dahil olmak üzere, ihlale neyin yol açtığının araştırılması ve gelecekteki veri sızıntılarının önlenmesi ve “kuruluşun bilgi güvenliği yaklaşımına olan güvenin yeniden tesis edilmesi” için gerekli iyileştirmelerin detaylandırılması yer alıyor. “
Boutcher şunları söyledi: “Rapor, meydana gelen ihlalin herhangi bir kişinin, ekibin veya departmanın tek bir kararı, eylemi veya olayının sonucu olmadığı, daha ziyade PSNI’nin daha iyi ele geçirilemeyen bir kuruluş olarak bir sonucu olduğu gerçeğinin altını çiziyor Verilerini daha iyi ve daha proaktif bir şekilde güvence altına alma ve koruma, riskleri daha erken, çevik ve modern bir şekilde tanımlayıp önleme fırsatları.”
Rapor, dolandırıcılık ve siber suç soruşturmalarından sorumlu komiser yardımcısı olarak görev yaptıktan sonra Ekim ayında Londra Şehri Polisi’nin geçici komiseri olan Peter O’Doherty tarafından yürütülen bağımsız bir soruşturmanın sonucunda ortaya çıktı. Aynı zamanda Birleşik Krallık Ulusal Polis Şefleri Konseyi’nin bilgi güvencesi lideridir.
O’Doherty, PSNI güvenlik açığını “yalnızca tehlikeye atılan verilerin doğası ve hacmi nedeniyle değil, aynı zamanda siyasi tarih ve bağlam nedeniyle Birleşik Krallık polis teşkilatı tarihinde meydana gelen en önemli veri ihlali” olarak tanımladı. Kuzey İrlanda’daki çağdaş polisliğin arka planı ve dolayısıyla memurlara, personele ve topluluklara yönelik gerçek veya algılanan tehditler.”
Raporun, kuvvetin Veri Koruma Yasası ve Genel Veri Koruma Yönetmeliği de dahil olmak üzere veri koruma yasalarına yasal uyumunu incelemediğini söyledi. İhlalin ardından Birleşik Krallık Bilgi Komiserliği Ofisi yasal bir soruşturma başlattı ve “risk düzeyini ve hafifletici önlemleri belirlemek için PSNI ile birlikte çalıştığını” söyledi.
Düzenleyici, ortak raporun bir kopyasını aldığını ve ihlale ilişkin soruşturmanın devam ettiğini söyledi. Bir ICO sözcüsü Information Security Media Group’a “En küçük insan hatası bile büyük sonuçlar doğurabilir” dedi. Olay, “özellikle hassas bir ortamda kişisel bilgileri korumak için sağlam önlemler almanın ne kadar önemli olduğunu gösterdi.”
Ekim ayında ICO, PSNI’yi “suç verileri de dahil olmak üzere kişisel verilerin ABD İç Güvenlik Bakanlığı ile hukuka aykırı olarak paylaşılmasını önlemek için uygun önlemleri almadığı” gerekçesiyle kınadı.
PSNI Bilgi Riski Gözetimini Artırıyor
PSNI’nin halihazırda uygulamaya koyduğu bir rapor tavsiyesi, kıdemli bilgi riski sahibinin artık emniyet müdür yardımcısı pozisyonunda olmasıdır. Boutcher, “Bu, bilgi güvenliği ve veri koruma konularının emniyet müdürü yardımcısı, operasyon müdürü ve emniyet müdürü tarafından anında görülebilmesini ve onlara kritik olarak hak ettikleri destek ve ilginin gösterilmesini sağlayacaktır.” dedi.
Veri ihlalinin ardından PSNI, ihlale verdiği tepkiyi gözden geçirmek ve kişisel bilgilerinin ifşa edilmesinin ardından PSNI personelinin fiziksel güvenliğini ve refahını korumaya yardımcı olmak amacıyla “sonuç yönetimi” amacıyla Sanukite Operasyonu’nu başlattı. İhlalin gerçekleşmesinden günler sonra yetkililer, muhalif cumhuriyetçilerin bilgilere sahip olduğu ve muhtemelen “bu listeyi korku ve belirsizlik yaratmak, ayrıca memurları ve personeli korkutmak veya hedef almak için kullanacakları” konusunda uyardı.
Polis daha sonra Terörizm Yasası uyarınca çok sayıda şüpheliyi tutukladı.
Dersler Geniş Kapsamda Uygulanır
O’Doherty, bağımsız incelemede belirlenen bilgi yönetimi ve güvenlik sorunlarının yanı sıra gerekli liderlik, yönetişim ve teknoloji düzeltmelerinin muhtemelen PSNI’dan çok daha fazlası için geçerli olduğunu söyledi.
Rapor, “Birleşik Krallık genelindeki her kuvvetin veri ve bilgilerin korunmasını ve güvenliğini mümkün olduğu kadar ciddiye alması için bir uyandırma çağrısıdır ve bu şekilde, bu rapordaki tavsiyelerin çoğu diğer birçok polis teşkilatı için de geçerli olabilir.” dedi.
Son aylarda çok sayıda İngiliz polis teşkilatı veri ihlali duyurdu. 8 Ağustos’taki açıklamadan günler sonra PSNI, kayıp bir dizüstü bilgisayarla ilgili ayrı bir olayı ayrıntılarıyla anlattı. Norfolk ve Suffolk Polis Teşkilatı, kendilerinin de kazara Bilgi Edinme Özgürlüğü Yasası ihlallerine maruz kaldıklarını, mağdurlar, tanıklar ve şüpheliler hakkındaki kişisel bilgilerin yanı sıra suç tanımlarının ifşa edildiğini söyledi.
Aynı ayın sonlarında Londra Metropolitan Polis Teşkilatı, potansiyel olarak 47.000 personelin tamamının isimlerinin, rütbelerinin ve fotoğraflarının açığa çıkmış olabileceği konusunda uyardı.