Kuzey İrlanda Polis Teşkilatında (PSNI) Ağustos 2023’te gerçekleşen ve Bilgi Edinme Özgürlüğü (FoI) talebine başarısız bir yanıt verilmesinin ardından binlerce görevli memurun ayrıntılarının çevrimiçi olarak sızdırılmasına neden olan veri ihlali, esas olarak veri koruma konusundaki modası geçmiş bir yaklaşımdan kaynaklandı. ve bağımsız bir incelemeye göre polisin uyumu.
İhlal, memurların ve personelin kişisel verilerinin muhalif Cumhuriyetçilerin eline geçmesine neden oldu ve BBC’ye göre, önemli sayıda PSNI çalışanı için güven kaybı nedeniyle güçle yollarını ayıran birçok PSNI çalışanı için ciddi travmaya neden oldu.
Londra Şehri Polisi ve Ulusal Polis Şefleri Konseyi’nin (NPCC) bilgi güvencesi ve siber güvenlikten sorumlu geçici komiseri Pete O’Doherty şunları söyledi: “Bu, tarihte şimdiye kadar meydana gelen en önemli veri ihlali olarak değerlendiriliyor. Bu durum, yalnızca tehlikeye atılan verilerin doğası ve hacmi nedeniyle değil, aynı zamanda Kuzey İrlanda’daki çağdaş polisliğin arka planını oluşturan siyasi tarih ve bağlam ve dolayısıyla memurlara, personele ve topluluklara yönelik gerçek veya algılanan tehditler nedeniyle de Birleşik Krallık polis teşkilatının durumuyla ilgilidir.
“Dış siber tehdit aktörlerinin polis teşkilatının karşı karşıya olduğu önemli tehditler nedeniyle, içeriden savunmasız olmamıza izin veremeyiz ve verilerimizi, bilgilerimizi ve altyapımızı korumak ve personelimize ve kamuoyuna güven vermek için elimizden gelen her şeyi yapmalıyız. Onların bilgilerini koruyacağımıza dair mutlak güven ve güven.”
Rapor, PSNI’deki ihlalin bir kişinin veya ekibin tesadüfi kararının sonucu olmadığını, hizmetin veri korumanın önemini kavrayamamasından ve verilerini proaktif olarak güvence altına alma ve verileri tespit edip önleme fırsatını değerlendirememesinden kaynaklandığını ortaya koyuyor. Riskleri çevik ve modern bir şekilde yönetin. Raporda, bu faktörlerden hiçbirinin, kuvvet dahilinde veya kuvvet dışında herhangi bir denetim, risk yönetimi veya inceleme mekanizması tarafından tespit edilmediği belirtildi.
Verilerin hem varlık hem de yükümlülük olarak tanınmaması ve bilgi yönetimi işlevlerine yönelik silolanmış yaklaşım, ihlale katkıda bulunan güçlü faktörlerdi.
Gücün kurumsal veri işlevlerine çok az önem verdiği ve bunların hafif bir yaklaşımla yerine getirildiği, bilgi ve veri yönetişiminin stratejilerinde ve yapılarında az çok bulunmadığı ve denetim programına dahil edilmesine rağmen, bu riskler ve bunları yönetecek kontrollerin eksikliği fark edilmedi.
Rapor, bunun muhtemelen PSNI’nin boyutundan, karmaşık operasyonlarından ve karşı karşıya olduğu tehdit ortamından kaynaklandığını, ancak aynı zamanda veri korumayı fazla karmaşık, niş ve başka birinin sorunu olarak damgalayan şirket içi liderlik ve kültürde de bazı temellerin bulunduğunu ortaya çıkardı.
Rapor ayrıca, PSNI bünyesinde herhangi bir öncelikli güç programı veya stratejisi olmaksızın, veri koruma ve siber güvenliğe öncelik verilmesi ihtiyacının tanınmadığını da tespit etti. Bilgi varlığı sahiplerinin (IAO’lar) tutarsız oldukları görüldü ve bu nedenle, kuruluş içinde doğru şeyi yapmanın gerekliliğini kabul eden bazı özel kişilere rağmen, gücün temelde herhangi bir düzeyde yeterli bir yanıt vermekten aciz olduğu görüldü.
Veri koruma politikası, uygulaması, eğitimi ve tutumları etrafında etkisiz ve fazlasıyla genel olan alanları ele aldı; özellikle Microsoft teknolojisinin, mutlaka var olmayan bir güç içerisinde kullanımına ilişkin bilgi varsayımı endişesi taşıyordu. Buna ek olarak, PSNI’nin FoI süreci tutarsızdı ve polis teşkilatı içinde yaygın olarak kullanılmasına rağmen açıkça tanımlanmış bir sahibi yoktu ve 2018 Veri Koruma Yasası ilkelerini etkili bir şekilde entegre etmekte başarısız olmuştu.
Buradan indirebileceğiniz raporun tamamı, PSNI’nın ileriye dönük olarak benimsemesi için bir dizi tavsiyeyi ortaya koyuyor. Ancak O’Doherty, bunların muhtemelen diğer birçok emniyet teşkilatı için de geçerli olacağını ekledi.
“Bu rapor yalnızca ihlalin nasıl meydana geldiğini ve bunun bir daha olmasını önlemek için hangi önlemlerin alınması gerektiğini vurgulamakla kalmıyor, aynı zamanda Birleşik Krallık’taki her kuvvetin veri ve bilgilerin korunmasını ve güvenliğini olabildiğince ciddiye alması için bir uyandırma çağrısıdır. mümkün ve bu şekilde bu rapordaki tavsiyelerin çoğu diğer birçok polis gücü için de geçerli olabilir” dedi.
PSNI emniyet müdürü John Boutcher, “Hizmet Yönetici Ekibinin artık raporu ve içindeki önerileri değerlendirmek için zaman ayıracağını” söyledi. “Tavsiyelerden biri hakkında zaten harekete geçtik ve SIRO’nun (kıdemli bilgi riski sahibi) rolü emniyet müdürü yardımcılığına yükseltildi. Bu, bilgi güvenliği ve veri koruma konularının emniyet müdürü yardımcısı, operasyon müdürü ve emniyet müdürü tarafından anında görülebilmesini ve onlara kritik olarak hak ettikleri destek ve ilginin gösterilebilmesini sağlayacaktır.
“Raporun sonuçlarını ve belirlenen ilgili eylemlerin tamamlanması için bir zaman çizelgesini değerlendirmek üzere Kuzey İrlanda Polislik Kurulu ile birlikte çalışacağız” dedi.