İngiltere Savunma Bakanlığı’nda ciddi bir veri ihlali, medyanın davayı tartışmasını önleyen, kişisel verileri riske atan bir süper junksiyonun kaldırılmasından sonra bugün ilk kez ortaya çıktı ve 2021’den sonra Taliban misillemelerinden korunmak için İngiltere’ye yer değiştirmeleri isteyen binlerce Afgan vatandaşının, 9/11’den sonra ülkenin kontrolünü geride kaldıktan sonra, iki yıl sonra terk ettikten sonra, onlarca yıl sonra tartışmalarını istedi.
Siber olay, 2022’nin başlarında, Afgan’ın yer değiştirme ve yardım politikası (ARAP) altında sığınma başvurusunda bulunan 18.000’den fazla kişinin ayrıntılarını içeren bir veri kümesinin ve Afganistan’ın yerel olarak istihdam edilen personelin Ex-Gratia Planı’na (EGS), ülkenin batı işgali sırasında veya İngiltere için çalıştıkları temelde, hatalı olarak yayınlandığı zaman ortaya çıktı.
Yaklaşık 18 ay sonra MOD, bu veri kümesinin dokuz kişiyle ilgili bir kısmının sosyal medya platformu Facebook’ta yayınlandığını keşfetti.
Bu verilerin Taliban’ın eline düşecekse, Eylül 2023’te birden fazla satış noktasına karşı bir süper junction verildi. The Daily Mail, The Daily Telegraph, The Financial Times, The Independent, Basın Derneği Ve Zamanlarolayın ayrıntılarını rapor etmelerini engellemek.
Superinjunction’ın kaldırılması, eski memur Paul Rimmer tarafından hazırlanan bir inceleme raporunun ardından geliyor. Bu rapor, veri kümesinin Taliban’ın eline düşmesi durumunda, halka açık alanda halihazırda verilerin hacmine dayanarak “bireyin mevcut maruziyetini önemli ölçüde değiştirme olasılığı düşük” olduğu sonucuna varmıştır.
Rimmer’ın raporu ayrıca, bir bireyin veri kümesine dahil edilmesi gerçeğinin, söz konusu bireylerin veya onların ortaklarının veya ailelerinin Taliban tarafından hedeflenmesi için gerekçesiyle “olası” olduğunu düşündü.
Superinjunction’ın yanı sıra, olay aynı zamanda yaklaşık 200 ana başvuranın yeniden yerleşimini hızlı bir şekilde, daha sonra 3.000’e kadar genişleten Afganistan yanıt rotası (ARR) olarak adlandırılan gizli bir Afgan yeniden yerleşim yolunun kurulmasına yol açtı.
Bu rota, bugünden itibaren kapalı olarak, yaklaşık 900 ana başvuru sahibini ve 3.600 aile üyesini 400 milyon £ maliyetle taşımıştı, ancak hükümet ARR tekliflerinin yaklaşık 600 daha müdüre yapılan teklif tekliflerini ve Afganistan’da kalan ailelerinin onurlandırılacağını doğruladı. ARR’nin nihai maliyetinin iki katına çıkması muhtemeldir.
Avam Kamarası’na sözlü bir açıklamada, Savunma Sekreteri Ben Healey: “Bu [the database] Başvuranların ve bazı durumların, başvuru sahiplerinin aile üyeleriyle ilgili bilgilerin adlarını ve iletişim bilgilerini içermektedir. Az sayıda davada… Parlamento üyelerinin isimleri, üst düzey askeri memurlar ve hükümet yetkilileri başvuruyu desteklediği kaydedildi.
Bakan, “Bu ciddi bir departman hatasıydı. Sıkı veri koruma protokollerini açıkça ihlal ediyordu. Ve bu dönemde ARAP şeması ile ilgili birçok veri kaybından biriydi” dedi.
Healey, Commons’a, facebook’tan maruz kalan verileri kaldırmak için hızlı bir eylem yapıldığını, iç soruşturma düzenlendiğini ve Bilgi Komiseri Ofisi’ne (ICO) ve Metropolitan Polisine rapor verildiğini ve hiçbir cezai soruşturmanın gerekli olmadığını belirledi.
“Bu ciddi veri olayı asla olmamalıydı,” dedi Healey. “Üç yıl önce önceki hükümet altında meydana gelmiş olabilir, ancak bilgileri tehlikeye atılan herkes için, bugün İngiliz hükümeti adına samimi bir özür sunuyorum.”
Hükümet, ortaya çıkmış olabileceklerin etkilenip etkilenmediklerini kontrol edebilecekleri ve kendi kişisel siber güvenliklerini koruma konusunda rehberliğe erişebilecekleri olayla ilgili özel bir mikrosit kurmuştur.
ESET Global Siber Güvenlik Danışmanı Jake Moore, “İnsan hatası, binlerce kişisel detayı ortaya çıkaran tek bir yanlış değerlendirilmiş e -posta ile vurgulandığı gibi büyük bir siber risk olmaya devam ediyor” dedi.
“İnsanlar her zaman veri ihlallerinin arkasında olmasa da, genellikle veri kaybı veya siber saldırıların nedenidir, bu da sadece daha güçlü teknik önlemlere ve kullanıcı eğitimine olan ihtiyacı güçlendirir.
Moore, “Kuruluş içinde gelişmiş gizliliğin eklenmesi de sorunu daha da kötüleştirmiş olabilir, ancak uygun protokollerin eksikliği sonuçta sistemin savunmalarında temel bir zayıflığı ortaya koyuyor” dedi. “Temel bir insan hatası bile en hassas ulusal güvenlik operasyonlarını bile zayıflatabilir.”
Maruz kalma tarihi
Açıklanacak en son ihlal, ARAP programını etkileyen ilk şey değildir, ancak önemli bir farkla en ciddidir.
Eylül 2021’de MOD, yaklaşık 305 kişinin verilerinin iki ayrı olayda maruz kaldığını ortaya çıkarmak zorunda kaldı.
İlk ihlalde, moddaki dahili bir hata, bir e -postanın gövdesine kopyalanmayı bekleyen 250 Afgan tercümanının e -posta adreslerini ve adlarını gördü. Alıcıların çoğu – çoğunlukla anavatanlarının işgali sırasında İngiliz güçleriyle çalışan tercümanlar – ‘tüm yanıtla’ işlevini vurarak, konumlarının ve vakalarının ayrıntılarını açığa çıkararak hatayı birleştirdi.
Sadece iki gün sonra açıklanan ikinci olayda, benzer bir gafta maruz kalan 55 kişinin e -posta adreslerini ve isimlerini gördü.
Aralık 2023’te, Bilgi Komiseri Ofisi (ICO), olayın ortaya koyduğu yaşam riski göz önüne alındığında, modu 350.000 £ – kamu sektörünü veya hükümet organlarını cezalandırmama politikası ile adım atma adımını attı.
ICO’nun soruşturması, ARAP’ın kuruluşların kazara toplu e -posta açıklamasını önlemek için teknik önlemleri yerine getirmesi gerektiğini belirten ICO rehberliğine aykırı olduğunu buldu.
Bu tür önlemleri uygulayamamıştı ve bunun yerine yeterli bir koruyucu önlem olmayan kör karbon kopya (BCC) işlevini kullanmayı hatırlayan personele güveniyordu.