Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Privacy Watchdog Kişisel Bilgilerin Tüm Kuvvet İçin Kaza Sonucu Sızıntısını Araştırma
Mathew J. Schwartz (euroinfosec) •
10 Ağustos 2023
Kuzey İrlanda’daki polis memurları, kişisel bilgilerinin kamuya ifşa edilmesiyle sonuçlanan ciddi bir güvenlik olayından çoktan sersemlemiş durumda, yakın zamanda başka bir veri ihlalinin kurbanı oldu.
Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası
PSNI’nin üst düzey bilgi riski sahibi olan Emniyet Müdür Yardımcısı Chris Todd Çarşamba günü yaptığı açıklamada, “Polis, 200’den fazla görevli memur ve personelin adlarını içeren bir elektronik tablo da dahil olmak üzere belgelerin çalınmasını çevreleyen koşulları araştırıyor.” Dedi.
Veri ihlalleri, politikacıların Kuzey İrlanda Polis Teşkilatı’nın mevcut liderliğinin uygunluğunu sorgulamasına yol açtı. Teşkilat mensupları, açıklanması kişisel güvenliklerini riske atan kişisel verilerinin neden bölümlere ayrılmadığını ve korunmadığını öğrenmek istiyor.
200’den fazla çalışanın adını içeren elektronik tablo, 6 Temmuz’da Belfast’ın hemen kuzeyindeki büyük bir kasaba olan Newtownabbey’de “özel bir araçtan” bir polis telsiziyle birlikte çalınan bir polis dizüstü bilgisayarında saklandı. Polis, etkilenen kişileri uyardıklarını ve yasal olarak yapmaları gerektiği gibi İngiltere’nin veri koruma kurumu olan Bilgi Komiserliği Ofisine haber verdiklerini söyledi.
Todd, “Bu, son derece ciddiye aldığımız bir konudur ve soruşturmamız devam ederken, Kuzey İrlanda Polislik Kurulu ve Bilgi Komiserliği Ofisi’ni güncel tutacağız” dedi.
Kuzey İrlanda’daki polis teşkilatı, mezhepsel gerilimler ve her zaman var olan cezai misilleme tehdidiyle dolu olmaya devam ediyor. Teşkilattaki pek çok kişi, Sorunlar olarak bilinen onlarca yıllık iç çekişmeyi sona erdiren 1998 güç paylaşım anlaşmasını reddeden muhalif cumhuriyetçiler tarafından öldürülme tehlikeleri göz önüne alındığında, yakın çevreler tarafından bile mesleklerinin bilinmesini istemiyor.
Kuzey İrlanda Polis Federasyonu başkanı Liam Kelly, BBC Today’e “Polislerimiz kimliklerini korumak için büyük çaba harcıyor. Bazıları yakın arkadaşlarına ve iş arkadaşlarına aslında poliste olduklarını bile söylemiyor” dedi. Mart ayında Birleşik Krallık hükümeti, County Tyrone, Omagh’da görev dışı bir polis memuruna yönelik suikast girişiminin ardından Kuzey İrlanda’daki terör tehdidi seviyesini “şiddetli” seviyeye yükseltti.
İhlal, Hizmet Veren Tüm Polis Memurlarını ve Personelini Etkiler
Temmuz veri ihlali haberi, hizmet veren 9.276 polis memuru ve personelinin tamamına ait kişisel bilgilerin Salı günü yanlışlıkla ifşa edilmesinden sonra geldi. PSNI, “insan hatasını” suçlayarak, bir çalışanın bir elektronik tabloda yer alan personel bilgilerini, bilgi edinme özgürlüğü talebine yanıt olarak gücün web sitesinde yayınladığını söyledi.
Açığa çıkan bilgiler arasında adın ve ikinci harflerin baş harfleri, soyadı, rütbe/sınıf, iş rolü ve iş yeri yer alıyordu (bkz.: Ciddi Veri İhlalinden Sonra Kuzey İrlanda Polisi Risk Altında).
Todd Çarşamba günü yaptığı ayrı bir açıklamada, “Bu veriler, kaldırılmadan önce üç saate kadar bir süre boyunca web sitesinde görüntülenebilir durumdaydı.” Dedi.
Ülkenin polis teşkilatını denetleyen Kuzey İrlanda Polis Kurulu, olayı gözden geçirmek ve PSNI emniyet müdürü Simon Byrne’yi sorgulamak için Perşembe günü acil bir toplantı düzenleyeceğini duyurdu.
ICO, olayı araştırdığını ve gücün PSNI’nin “aciliyet” ile yapmasını beklediği riskleri ve uygun azaltmaları gözden geçirmesine yardımcı olacağını söyledi.
Bilgi Komiseri John Edwards yaptığı açıklamada, “İnsanların kişisel bilgilerinin güvende tutulmasını ve olmaması gerektiğinde ifşa edilmemesini bekleme hakkı vardır.” Dedi. “Bu olay, en küçük insan hatalarının bile nasıl büyük sonuçlara yol açabileceğini gösterdiği için ciddi endişelere yol açıyor.”
Todd, PSNI’nin “ne olduğunu, nasıl olduğunu ve gelecekte böyle bir ihlali önlemek için hemen ne yapabileceğimizi anlamak için süreçlerimizi uçtan uca gözden geçirmesi için” bağımsız bir danışman getirdiğini söyledi.
Daha önce Kraliyet Hava Kuvvetleri’nde istihbarat ve karşı istihbarat rollerinde görev yapmış olan siber güvenlik uzmanı John Walker, veri ifşasının “‘hassas istihbaratı’ güvence altına almak için yürürlükte olduğunu varsaydığınız hemen hemen her kontrolün tam bir dökümünü yansıttığını” söyledi. Bu, yalnızca polis memurları ve personelinin maruz kaldığı risk nedeniyle değil, aynı zamanda bir bilgi edinme özgürlüğü talebini ele alırken bir devlet kuruluşu tarafından kazara hassas bilgilerin ifşa edilmesinin ilk kez olmaması nedeniyle de şaşırtıcıdır.
Walker, en azından, ihlalin zayıf veya hiç olmayan eğitim, veri sınıflandırması ve yayın süreçlerinden hassas verilere erişimi kısıtlamadaki başarısızlığa kadar çeşitli eksik kontrollerin ne olması gerektiğini vurguladığını söyledi. Ayrıca, bu kadar hassas bilgilerin dijital formda mı yoksa çevrimiçi bağlantılı herhangi bir sistemde mi saklanması gerektiğini de sorguladı.
PSNI baş müfettişi ve Ulusal Siyahi Polis Derneği başkanı Andrew George, bir Guardian makalesinde, “Veri ihlali bizi daha önce hiç olmadığı kadar ifşa ediyor” dedi. George, PSNI’deki herkesin hem görevde hem de görev dışında sürekli saldırıya uğrama tehdidiyle karşı karşıya olduğunu, korunmak için silahlarını eve götürdüğünü ve arabalarında bubi tuzağı olup olmadığını düzenli olarak kontrol ettiğini söyledi. “Meslektaşlarım arasındaki korku aşikar” dedi.
PSNI’den Todd, gücün “tüm memurlarımıza ve personelimize güncel kişisel güvenlik tavsiyeleri yayınladığını ve halkımızın refah endişelerine bakacak bir acil durum tehdit değerlendirme grubu kurduğunu” söyledi. Grubun acil önceliği, veri ifşasından dolayı anında zarar görme veya risk altında olma olasılığı bulunan personel üyelerini ve ailelerini belirlemektir.