Metropolitan Polis Teşkilatı (MPS), veri koruma ve arama işlevselliğindeki zayıflıklar konusunda çok sayıda “endişe konusunun” dile getirilmesine rağmen, Connect entegre kayıt yönetim sistemini Kasım 2022’de devreye aldı.
Yazılım tedarikçisi NEC Software ile Mayıs 2018’de 150 milyon £’a kadar sözleşme imzalanan Connect sistemi, polis memurlarına anında bilgi vererek istihbarat ve soruşturmalardan gözaltı ve kovuşturmaya kadar çeşitli polislik süreçlerinin uçtan uca yönetilmesine yardımcı olmayı amaçlıyor. Tek bir operasyonel platform aracılığıyla önceden farklı olan sekiz sistemdeki gerçek zamanlı bilgilere erişim.
Belediye Başkanı Polis ve Suç Dairesi (Mopac) tarafından hazırlanan 19 Temmuz 2022 tarihli inceleme raporuna göre, teşkilatın veri koruma “sorunlarını” vurgulayan güncellemelerine rağmen sistemin kullanıma sunulmasının ilk aşaması Kasım 2022’de gerçekleşecek. arama işlevselliği, denetim yeteneği ve erişim hakkı ile ilgili endişeler”.
Raporda, örneğin Connect’in denetim yeteneklerinin “eski sistemlerin denetim yeteneğini tam olarak kopyalamadığı”, öyle ki Birleşik Krallık Veri Koruma Yasası 2018’in veri toplama gibi günlük kaydı gereksinimlerine aykırı şekilde çalışacağı belirtildi. ve verilerin değiştirilmesi.
“Bu MPS’ye özgü değil, ulusal bir konudur – ICO [Information Commissioner’s Office] Bu konuların ulusal düzeyde farkında olan ve [West Midlands], canlı yayına geçenler” dedi. “MPS, veri koruma yasasına ilişkin hükümet istişaresinin bir parçası olarak DPA 2018’in bu bölümünün revize edilmesini önerdi.”
Computer Weekly tarafından bildirilen bilgi edinme özgürlüğü (FOI) açıklamasına göre, Connect şu anda bütçeyi yaklaşık 64 milyon £ aşarken, memurlar ve personel, operasyonun ilk dört ayında 25.000’den fazla destek talebinde bulundu.
Veri koruma sorunları
İnceleme raporu, Connect’in “arama sınırlamalarının etkisini sınırlamak” için MPS’nin Entegre İstihbarat Platformuna (IPP) veri besleyeceğini belirtirken, iki sistemin birleşik arama işlevselliğinin “mevcut sistemlerden daha az karmaşık olacağını” da ekledi. izin ver” ve “bazı arama işlevleri tamamen kaybolacak”.
IPP sisteminin sınırlamaları aynı zamanda “çok büyük miktarda verinin elemek için geri gönderileceği (mevcut sistemlerden gelen miktarın 4-6 katı olduğu tahmin edilmektedir)” anlamına da gelir.
MPS’nin kendi sistemlerindeki verileri etkili bir şekilde kaydedememesi ve geri alamaması sorunu, Londra Meclisi Polis ve Suç Komitesi başkanı Caroline Russell tarafından da Mayıs 2023’teki toplantısında gündeme getirildi ve burada gücün konuyla ilgili bilgi sağlayamadığını belirtti. Çocuklar üzerinde yaptığı çıplak aramaların beşte birinin yerleri.
Russell, bunu Connect’in gelişimiyle ilişkilendirerek Computer Weekly’ye şunları söyledi: “Met’in geçmişte çocukların soyarak aramasıyla ilgili kritik verileri düzgün bir şekilde kaydetmede başarısız olduğunu biliyoruz.
“Bilgisayar sistemleri şeffaflığı teşvik etmezse, o zaman memurlar Londralıları koruma ve onların güvenini ve güvenini kazanma misyonunda başarısızlığa mahkum ediliyor.”
Raporda ayrıca Connect’in arama işlevselliğinin “diğerlerine göre daha düşük” olduğu belirtildi. [the Met’s ‘Criminal Intelligence’ database] CRIMINT” ve “dosyaları aranabilir ve geri alınabilir olmaktan çıkardığı, ancak teknik olarak silmediği” için veri silme konusunda uyumluluk zorlukları yarattığını belirtti.
Bu sorunların her ikisinin de MPS’nin konu erişim taleplerine zamanında yanıt verme konusunda halihazırda sahip olduğu sorunları artıracağını ve “potansiyel olarak MPS’nin verileri kaldırmak için konu erişim talebini karşılayamayacağı anlamına geldiğini” söyledi.
Raporda, bu sorunun çözülememesi durumunda “ICO’nun dahil olma riskinin mevcut olduğu” ve “bu sorunların onay sırasında MOPAC’a işaretlenmediği” ifade edildi. MPS içerisinde tanınıp tanınmadıklarını söyleyemeyiz.”
Londra Meclisi’nin Mayıs 2023’teki toplantısında Mopac CEO’su Diana Luchford, Connect ile ilgili olarak şunları söyledi: “Mopac’ta elimizden gelen en etkili gözetimi sağlamak için ihtiyaç duyduğumuz teknolojik uzmanlığa sahip olmadığımızdan endişe duyuyorum. Elbette elimizden gelenin en iyisini yapıyoruz ama bu da çözmemiz gereken bir konu.”
Met, Mopac ve ICO yanıt veriyor
Computer Weekly, Met’e gözetim kurulu belgesi hakkında bir dizi soru sordu; bunlar arasında belirlenen tüm sorunların Kasım 2022’de kullanıma sunulmasından önce nasıl çözüldüğü de vardı; sistemin artık yasal kayıt gerekliliklerini karşılayıp karşılayamayacağı; Connect içindeki veri işleme konusunda ICO’ya resmi olarak danışıp danışmadığı; neden hiçbir sorun onaylanmadan önce Mopac’a bildirilmedi; artık sistemden etkili bir şekilde veri alıp alamayacağı; ve sistemin artık verileri tamamen silme yeteneğine sahip olup olmadığı ancak yanıtlar için bir FOI talebi göndermesi söylenmişse. Yayınlanmadan önce bir FOI talebi gönderildi.
Computer Weekly ayrıca Mopac ve MPS arasındaki veri koruma sorunlarının açık tartışması hakkında ICO ile temasa geçti ve veri düzenleyicinin sorunlardan haberdar edilip edilmediği veya Connect’in kullanıma sunulmasında yer alan herhangi bir kurum tarafından başka bir şekilde kendisine yaklaşılıp yaklaşılmadığı konusunda açıklama istedi.
Bir ICO sözcüsü, “ICO, Kasım 2022’deki ilk dağıtımından önce Connect sistemi üzerinde sınırlı bir etkileşime sahipti” dedi. “Bazı uyumluluk sorunlarından haberdar olduk ve bunları çözmek için çalışmaların devam ettiğini anlıyoruz ve bu konuyla bağlantılı olarak MPS ile daha fazla etkileşim içinde olmayı bekliyoruz.”
Computer Weekly ayrıca ICO’nun kuvvetle olan ilişkisi hakkında daha fazla bilgi sağlayıp sağlayamayacağını ve veri koruma risklerinin yeterince azaltıldığına inanıp inanmadığını sordu ancak bu, bir FOI talebi olarak düzenleyicinin bilgi erişim ekibine iletildi.
ICO bu talebe yanıt olarak, “Talebinizde bahsettiğiniz konulardan haberdar olup olmadığımızı ne doğrulayabiliriz ne de reddedebiliriz” dedi.
Açıklamada, “Yukarıdaki hiçbir şey, ICO’nun alıntı yapılan kuruluşlardan yazışmalar aldığının teyidi veya reddi olarak anlaşılmamalıdır” denildi.
Computer Weekly ayrıca ICO’nun potansiyel katılımının neden bir risk olarak görüldüğü konusunda Met ve Mopac ile temasa geçti. Met bu sorunun FOI olarak sunulması gerektiğini söylese de Mopac yanıt vermedi.
Computer Weekly, hikayenin diğer yönleri hakkında yorum yapmak için Mopac’a birçok kez başvurdu, ancak Mopac yanıt vermedi.
MPS yasa değişikliği önerdi
Met’in veri koruma yasalarının sistemin kullanımına uyum sağlayacak şekilde değiştirilmesi yönündeki önerisine yanıt veren bağımsız güvenlik danışmanı ve ulusal polislik sistemleri sağlamada 20 yılı aşkın deneyime sahip kurumsal mimar Owen Sayers, veri koruma yasasında değişiklik çağrılarının giderek arttığını söyledi. Birleşik Krallık polisinin karşılaştığı teknik sorunlara giderek yaygınlaşan bir yanıt.
“Bunu yakın zamanda dört kez duydum. Kaçınılmaz sonuç, polislik tarafından giderek daha fazla benimsenen sistemlerin yasal olarak amaca uygun olmadığıdır; ancak polis teknoloji uzmanları, gereksinimlerini doğru bir şekilde belirlemek ve bunları satıcılara iletmek yerine birincil mevzuatı değiştirmeyi tercih ediyor” dedi.
“Bu sadece saflık değil; yasada bu tür değişiklikler yapılması çağrısında bulunan kişilerin etkili konumlarını korumak için yeterliliği ve uygunluğunun sorgulanması gereken temel bir konuyu yansıtıyor.”
Kendisi, uygulanan teknolojide değişiklik yapmak yerine Birleşik Krallık’ın veri koruma yasalarında değişiklik yapılması yönündeki çağrıların, sıkı denetime tabi polis ve kolluk kuvvetleri sektörlerindeki yasal kısıtlamalar dikkate alındığında “kendi taraflarındaki seri başarısızlıkları yansıttığını” ekledi.
“Gerçek şu ki, polisin teknoloji açısından yapması gereken her şey, bugün var olan yasalar çerçevesinde tamamen gerçekleştirilebilir. Bunlar, polis teknoloji uzmanlarının benimsemeyi seçtiği platformlarda kesinlikle yapılamaz” dedi ve açık veri koruma risklerine rağmen Birleşik Krallık polis teşkilatı genelinde giderek yaygınlaşan hiper ölçekli kamu bulut sistemlerine atıfta bulundu.
“Yasayı değiştirmeye gerek yok; tek yapmaları gereken iyi uygulamaları uygulamak ve mevcut gereksinimleri karşılayan çözümleri seçmek.”
Sayers ayrıca, Birleşik Krallık polisi için ilgili veri yasalarının yeni olmadığını, Mayıs 2016’da yürürlüğe girdiğini ve Mayıs 2018’den bu yana tam olarak yürürlükte olduğunu belirtti: “Şu anda ‘teknolojiyi yansıtmadığı için yasayı değiştirmek’ için teklifte bulunan insanlar” Seçtikleri teknolojinin kullanımı yasal değilse aslında yanlış teknolojiyi seçmiş olduklarının farkına varmak daha akıllıca olacaktır.”
Computer Weekly, Met’e Sayers’ın mı yoksa Russell’ın yorumlarına mı yanıt vermek isteyip istemediğini sordu, ancak yanıtlar için bir FOI’nin sunulması gerektiği söylendi.