Avukatlar için önde gelen bir kolejdeki öğrenciler, kolejin teknik bir “sorun” olarak tanımladığı olayın ardından, diğer yüzlerce mevcut ve potansiyel öğrenci hakkında bilgi içeren dosyalara erişebildiler.
Gelecekteki avukatlara eğitim sunan Inns of Court College of Advocacy (ICCA), Bilgi Komiseri Ofisi’ne, hassas üniversite dosyalarının üniversitenin web portalında öğrencilerin erişimine açık kalmasına neden olan bir ihlal konusunda bilgi verdi.
Computer Weekly, üniversitedeki bazı öğrencilerin, 440’tan fazla kişisel e-posta adresi de dahil olmak üzere yaklaşık 800 öğrenciye ilişkin özel ve hassas bilgiler içeren dosyaları görüntüleyebildiklerini biliyor.
İhlal, e-posta adresleri ve telefon numaraları gibi kişisel verilerin yanı sıra sınav notları ve daha önce gidilen kurumlar da dahil olmak üzere akademik bilgilerin üniversitedeki öğrenciler tarafından erişilebilir olmasını sağladı.
Öğrenciler ayrıca öğrenci kimlik numaralarının yanı sıra kimlik fotoğraflarına ve sağlık kayıtları, vize durumları, hamile olup olmadıkları veya çocuk sahibi olup olmadıkları gibi hassas verilere de erişebildiler.
ICCA, geleceğin avukatları için e-öğrenme, yüz yüze eğitim ve bireysel çalışmanın bir karışımına dayanan bir yıllık eğitim kursu sunmaktadır. Üniversitenin web sitesine göre, iki bölümden oluşan kursun ilk yarısı “tamamen çevrimiçi olarak veriliyor”.
ICCA’nın operasyon direktörü Andy Russell, Computer Weekly’ye, belirtilmeyen bir “teknik sorunun”, “belirli öğrencilerin” yalnızca personelle sınırlandırılması gereken dosyalara erişebileceği anlamına geldiğini söyledi. Üniversitenin, verilerin dosyalara erişimi olan kişilerle paylaşılmaması yönünde yazılı taahhütler istediğini söyledi.
Veri ihlali
Üniversite bugüne kadar dosyalara kaç öğrencinin erişebildiğini doğrulamadı.
Russell, “ICCA, Ağustos 2023’te bir veri ihlali yaşadı” dedi. “Teknik bir sorun nedeniyle bazı kayıtlı öğrencilerin kendi hesaplarında arama isteği göndermeleri [email protected] e-posta hesaplarına, ICCA’nın yalnızca personelin erişebildiği SharePoint sitesinden bazı dosyaları içeren sonuçlar döndürüldü.
“Sorun öğrenilir öğrenilmez, etkilenen dosyaların güvenliğini sağlamak için derhal harekete geçildi” diye ekledi.
Bilgi Komiserliği Ofisi (ICO) da ihlalin kendisine bildirildiğini ve sonraki adımları düşündüğünü doğruladı.
Bir ICO sözcüsü şunları söyledi: “Mahkeme Hanları Konseyi bizi bir olaydan haberdar etti ve sağlanan bilgileri değerlendiriyoruz.”
Russell, veri ihlalinin üniversite bünyesinde gerçekleştiğini ve etkilenen bireylerin “hak ve özgürlükleri” açısından “yüksek risk” oluşturmadığını söyledi.
“ICCA, ihlali tam olarak araştırdı ve hiçbir finansal veriye veya oturum açma/şifre verisine erişilmediğini doğruladı” dedi.
Yazılı taahhütler
Russell şunları söyledi: “Bazı dosyalara çok az sayıda ICCA öğrencisi tarafından erişilmesine rağmen kurumumuz dışında hiçbir kişisel verinin paylaşılmadığı tespit edildi. Dosyalara erişen öğrencilerle temasa geçtik ve onlardan, görüntülemiş olabilecekleri hiçbir verinin başka taraflarla paylaşılmadığına ve gelecekte de paylaşılmayacağına dair yazılı taahhüt aldık.
“İhlalin tüm gerçekleri belirlendikten sonra ve harici BT ve GDPR uzmanlarına danıştıktan sonra ICCA kapsamlı bir risk değerlendirmesini tamamladı” dedi.
Russell, ilgili testler uygulandığında konunun etkilenen bireylerin “hak ve özgürlükleri” açısından yüksek bir risk teşkil etmediği sonucuna varıldığını da sözlerine ekledi.
“Bununla birlikte, şeffaflık ve dürüstlük adına ICCA, verileri görüntülenen herkesi proaktif bir şekilde ihlalin ayrıntıları konusunda bilgilendirdi” dedi.
GDPR yükümlülükleri
Veri koruma avukatı Dai Davis, Computer Weekly’ye, üniversitenin veri ihlalinin “yüksek risk” oluşturmadığını iddia etmesinin öneminin, üniversitenin verileri tehlikeye giren tüm öğrencilere bildirimde bulunmak zorunda olmadığı anlamına geldiğini söyledi.
GDPR uyarınca üniversitenin, verileri görüntülenebilen tüm kişilerle iletişim kurma zorunluluğu yoktu ancak ICO ile iletişime geçmesi gerekiyordu.
“Kolej, yine de üniversitenin verilerinin ‘görüntülendiğini’ bildiği kişileri bilgilendirdiğini belirtti” dedi.
“Ancak üniversite, ihlalin niteliğinin yalnızca ‘teknik bir sorun’ olduğunu belirttiğinden, bunun, verilerine erişilen tüm kişilerle iletişime geçildiği anlamına gelip gelmediğini belirlemek mümkün değil.”