2023年8月,北爱尔兰警务处(PSNI)遭遇了一场数据泄露事件,导致9483名警官和文职人员的个人数据被曝光。这也是英国警方历史上最严重的数据泄露事件,究其原因是警方网络安全缺失,以及对数据保护的不重视(light touch approach)。12月11日,NPCC完成调查报告,并向PSNI和NIPB提交,对于此次数据泄露事件进行全面复盘,以发现英国警方内部网络和数据安全建设的不足,吸取经验教训。
北爱尔兰警察局 (PSNI) 响应信息自由 (FOI) 请求,旨在确定 PSNI 官员的人数,但却不慎将一个Excel电子表格进行了共享,该表格里包含了PSNI所有在职员工的敏感信息,包括姓名、职级,以及他们工作的位置和部门。
信息自由请求是个人或组织向政府机构或公共机构提出的正式询问,以获得该实体持有的记录、文件或信息的访问权限。信息自由请求的目的是通过允许公民请求和获取有关政府机构的运作、决策和活动的信息来促进透明度、问责制和开放政府。
美国有线电视新闻网 (CNN) 报道称,警员信息暴露给他们带来了巨大的安全风险,甚至还包括人身风险。由于英国在该地区统治存在争议,导致警方人员经常成为攻击目标。
为此,北爱尔兰警务处和北爱尔兰警务委员会(NIPB)要求对该泄露事件进行独立审查。由全国警察首席委员会(NPCC)信息安全负责人以及伦敦市警察局局长Pete O’Doherty领导的审查团队,于2023年12月11日向PSNI和NIPB提交了他们的调查报告。
报告指出,该事件是由一个简单的人为错误造成,包含官员和员工敏感信息的透视表隐藏在电子表格中,并且FOI在公布之前也没有发现。
同时报告强调,该泄露事件虽然看起来简单,但却并非由任何个人、团队或部门的“单一孤立决策、行为或事件”所导致,相反,这是多种因素的后果。
因此,“人为错误”不过是表面原因,其根本原因在于,PSNI没有做好相关的网络安全防护,没有更好、更主动地保障数据安全,没有较早地识别和预防风险,缺乏符合当下实际情况的更敏捷、现代化的数据保护方式。
审查报告进一步指出,PSNI对数据保护和安全采取了“light touch approach”,即在这方面缺乏相应的安全策略。且2018年颁布实施的《数据保护法》(DPA)并未完全落实,实施过程可能存在“过于乐观”或“夸大其词”的地方。
“关于数据保护影响评估(DPIAs)的义务没有实现,但在记录中却被标记为‘绿色’(通过),事实上未被通过的信息共享要求标记为‘琥珀色’。数据泄露事件的报告没有进行分类分级,如果存在官方敏感(以及更高)标记,可能会促使PSNI以不同的方式处理信息,从而避免数据泄露。”
最后,审查报告还认为,PSNI在安全建设中还“没有认识到数据保护官(DPO)角色的重要性,DPO没有直接向组织最高层报告的机制,这已经违背了法律的要求。”
在审查报告的前言部分中,Pete O’Doherty表示这一事件“对于英国各个地方的警队是一个安全警钟”,提醒他们要认真对待警方数据安全和信息保护。他进一步表示,审查报告中的很多内容不止针对PSNI,同样适用于英国其他地方的警队。由于此次数据泄露事件,根据已经收集到的信息,对PSNI的官员和员工产生了威胁。
这期数据泄露事件最终导致PSNI首席警司西蒙·伯恩在一个月内离职,此外还有超过50人因病缺勤。截止到目前,已经有超过4k名PSNI的员工(包括警官和平民员工)正在对警局采取法律行动。这些诉讼可能会使PSNI产生2400万英镑到3700万英镑(按当下汇率,约为2.16亿-3.33亿人民币)的额外费用。
在一次新闻发布会上,PSNI新任警察局长乔恩·布彻表示这是一份“艰难地阅读”的报告,强调将“充分接受并吸取其中的教训”。正如审查报告所建议的那样,PSNI已经成立数据委员会。
NPCC的审查报告中概述了37项建议,其中涉及一些不便公开的,这里分享8条可公开的建议:
纵观PSNI数据泄露事件,表面上看不过是员工的一次误操作,却产生了难以忍受的巨大损失。但随着调查的深入,发现了英国警方存在的各类安全问题。
他山之石可以攻玉,在企业安全建设中是否同样存在类似的问题,值得安全人深思。
作为在安全战场上摸爬滚打多年的诸位都明白,在整个安全链条中最薄弱的一环就是人本身。因此,如何建立有效的机制和技术手段,从根上减少信息泄露的风险才是安全从业者所需要追求的。在本次泄漏事件中,由于未进行有效的数据分类分级,导致PSNI获取信息披露所需数据的时候,并不知晓该文档所包含数据的敏感性,进而未能够引起警觉。并且,获取如此敏感的数据之前,也未有任何审批、审核机制,其权限配置也让人诟病。因此,所谓“人为失误”不过是一系列安全防护手段缺失导致的一种必然结果罢了。
对任何组织和个人来说数据泄漏事件都是一场灾难,可能会造成严重的财务损失、声誉损失、信任破裂、司法诉讼以及监管处罚等责任。
对于组织和个人来说,要做好应对数据泄漏事件的准备,并尽力降低数据泄漏事件的可能性和事件造成损失。
1、清楚了解并遵守相关法律法规:组织应根据业务所在国的数据保护法律法规和标准,妥善管理数据并保护个人信息。对于个人来说,要加强个人信息的保护意识,谨慎处理和分享个人敏感信息。
2、建立数据安全保护团队并给予相应的资源:组织应建立从高级管理层直至基层业务运营的上下一体的数据安全保护团队。明确数据负责人,和不同业务流程中的数据安全保护负责,并提供必要的资源,以便于开展各级数据安全保护工作。
3、加强数据保护措施:组织应基于开展的业务、对应的监管要求和内外部威胁,制定并实施严格的数据保护政策,包括:加密敏感数据、限制数据访问权限、定期备份数据、隐私政策等。同时,完善数据相关的业务流程,更新和升级网络安全设备和软件,以确保系统能够抵御最新的网络攻击。
4、持续监测和检测:采用合适并不断更新的安全事件和威胁情报监测技术,及时发现和阻止潜在的攻击。定期进行开展漏洞扫描、渗透测试等安全评估,及早发现并修补系统漏洞。
5、做好人员教育和培训:人是网络安全中最薄弱的环节,通过培训员工识别、降低、避免钓鱼、恶意软件、主动漏洞等网络攻击,可以大大降低数据泄漏的风险。
6、及时发现和响应:应建立紧急响应计划,以应对数据泄漏事件。发现数据泄漏后,立即采取行动,中断数据流失,修复和恢复损坏的系统。同时,在事件调查过程中与执法机构和相关利益相关者进行合作。
7、及时通知和沟通:当数据泄漏事件发生时,及时通知相关当事人,并提供必要的信息和支持。与利益相关的组织和个人建立积极的沟通渠道,向他们提供准确的情况说明和解决方案。
8、购买保险:可以考虑购买网络安全保险,以减轻数据泄漏事件带来的财务损失,并为组织提供司法、事件调查和业务恢复等方面的费用支持。