Eylül 2021’de yaşanan bir dizi dahili e-posta hatasının, Taliban’ın ülkenin kontrolünü ele geçirmesinin ardından Birleşik Krallık’a tahliye edilmeye uygun Afgan vatandaşlarının kişisel verilerini açığa çıkarması üzerine Savunma Bakanlığı (MoD), 350.000 £ para cezasına çarptırıldı.
Olay, o zamanlar İngiliz kuvvetleriyle çalışan ve bu nedenle Taliban’ın misilleme riskiyle karşı karşıya olan Afgan vatandaşlarına yardım sağlamak için yoğun bir şekilde çalışan Savunma Bakanlığı’nın Afgan Yer Değiştirme ve Yardım Politikası (Arap) nedeniyle ortaya çıktı.
Arap, “Kime” alanını kullanarak tahliye etmek isteyen Afgan vatandaşlarının dağıtım listesini e-postayla gönderdi ve bunun sonucunda 55’inin küçük resim profil resimleri de dahil olmak üzere 245 kişinin verileri tüm listeyle paylaşıldı. Daha sonra iki kişi “Tümünü Yanıtla”ya bastı ve bunlardan biri yanlışlıkla konumunu bıraktı.
ICO, ihlaller nedeniyle hükümete ve kamu sektörü kurumlarına nadiren ceza kesiyor ve bunun sonuçta İngiliz vergi mükelleflerinin üzerindeki yükü artıracağını söylüyor. Ancak bu vesileyle ortaya çıkan hayati tehlike göz önüne alınarak para cezası verilmesi kararı alındı.
Bilgi komisyon üyesi John Edwards, “Bu son derece üzücü veri ihlali, ülkemizin çok şey borçlu olduğu kişileri hayal kırıklığına uğrattı” dedi. “Bu, bu insanlara borçlu olunan güvenlik yükümlülüğünün özellikle ciddi bir ihlaliydi, dolayısıyla bugün ofisimin uyguladığı mali cezayı garanti ediyor.
“2021 yazında sahadaki durum oldukça zorluyken ve kararlar hızla alınırken, bu, misillemeye karşı savunmasız ve ciddi zarar görme riski taşıyan kişilerin bilgilerinin korunmaması için bir mazeret olamaz. İnsanlara yönelik risk ve zarar düzeyi arttığında tepki de artmalıdır.
“Bu cezayı vererek ve bu ihlalden çıkarılan dersleri paylaşarak, hazırlıklı olmanın yerini hiçbir şeyin tutamayacağını tüm kuruluşlara açıkça belirtmek istiyorum. En yüksek veri koruma standartlarının uygulanması isteğe bağlı bir ekstra değildir; koşullar ne olursa olsun bir zorunluluktur. Burada da gördüğümüz gibi veri ihlallerinin sonuçları hayati tehlike oluşturabilir. Ofisim, insanları zarar görme riskiyle karşı karşıya bırakacak şekilde yasalara yeterince uyulmadığını tespit ettiğimiz durumlarda harekete geçmeye devam edecektir.”
Soruşturma, Arap’ın ICO rehberliğine aykırı hareket ettiğini ortaya çıkardı; bu da kuruluşların toplu e-posta hizmetlerinin kullanımı, adres-mektup birleştirme veya güvenli veri aktarımı gibi toplu e-posta verilerinin ifşa edilmesini önlemek için uygun teknik önlemlerin alınması gerektiğini açıkça ortaya koyuyor.
Arap bu tür politikaları uygulama konusunda başarısız olmuştu ve personelin Kör Karbon Kopya (BCC) işlevini kullanmayı hatırlamasına güveniyordu. Buna ek olarak, Arap ekibine katılan personelin Savunma Bakanlığı’nın daha geniş e-posta politikalarına güvendiği ve hassas bilgiler içeren grup e-postaları göndermenin güvenlik risklerine ilişkin özel bir rehberlik veya eğitim almadığı belirtildi.
İhlalin ardından Savunma Bakanlığı, listelere gönderilen e-postaları çapraz kontrol etmek için “ikinci çift göz” politikasının uygulanması da dahil olmak üzere Arap’taki e-posta politikaları ve süreçlerinde bir güncelleme başlattı. Computer Weekly, muhtemelen operasyonel güvenliği korumak amacıyla şu anda açıklanmamış olsa da başka değişiklikler de yaptığını biliyor. Bu temelde, cezası başlangıçtaki 1 milyon £’dan önemli ölçüde düşürüldü.
Bir Savunma Bakanlığı sözcüsü şunları söyledi: “Savunma Bakanlığı veri koruma yükümlülüklerini inanılmaz derecede ciddiye alıyor. Hızlı bir çözüm sağlamak için soruşturmaları boyunca ICO ile kapsamlı bir işbirliği yaptık ve olanların ciddiyetinin farkındayız. Bugünkü kararı tamamen kabul ediyoruz ve etkilenenlerden özür dileriz.
“ICO’nun tavsiyeleri doğrultusunda hareket etmek için bir dizi önlem aldık” diye ekledi.