MoD:n Henkilöstöä Varoitettiin Tietojen Jakamisesta Ennen Afganistan Vuotoa

Iso-Britannian puolustusministeriön (MoD) henkilökuntaa varoitettiin tietojen jakamisesta, jotka sisältävät piilotettuja välilehtiä, ennen kuin Afganistanin tietovuoto tapahtui. Tämä käy ilmi tiedoista, jotka Britannian tietosuoja-asioiden valvoja on julkaissut.

Viime kuussa paljastui, että lähes 19 000 ihmisen tiedot, jotka olivat hakeneet muuttoa Iso-Britanniaan, vuotivat, kun viranomainen lähetti laskentataulukon, joka sisälsi piilotetun välilehden näillä tiedoilla.

Asiakirjat, jotka julkaistiin tietosuojakomissaarin toimesta, osoittavat myös, että henkilökunta ilmaisi huolensa siitä, miksi MoD:lle ei annettu sakkoa.

MoD kertoi tehneensä töitä parantaakseen tietoturvaa, mutta ICO:n tiedottaja sanoi, että hallitus ei ole tehnyt tarpeeksi oppiakseen tapauksesta.

ICO:n muistiinpanon mukaan oli ohje, joka osoitti, että MoD oli tietoinen tietojen jakamisen riskeistä ja korosti tarvetta poistaa piilotetut tiedot datasta.

Piilotetut välilehdet ovat yleinen ominaisuus laskentataulukkosovelluksissa ja tekevät tiedoista näkymättömiä käyttäjälle, mutta ne ovat silti helposti saatavilla, jos dokumentin asetuksia muutetaan.

Hallitus arvioi, että vuoden 2022 vuoto, joka johti hätäiseen asuttamisohjelmaan talibanien vainon vaarassa oleville, maksaa lopulta noin 850 miljoonaa puntaa.

Oikeus myönsi syyskuussa 2023 superkiellon, joka esti tapahtuman raportoimisen lähes kahdeksi vuodeksi, ennen kuin määräys kumottiin viime kuussa.

Piakkoin sen jälkeen, kun MoD tuli tietoiseksi tietomurrosta vuonna 2023, he informoivat Iso-Britannian tietosuojaviranomaista, ICO:ta. Nämä kaksi tahoa pitivät useita salaisia tapaamisia kahden seuraavan vuoden aikana, ja viranomaisen julkaisemat asiakirjat paljastavat osan keskustelusta.

He sanovat, että valtion virkamiehet kuvailivat vuotoa todennäköisesti ”kalleimmaksi koskaan lähetetyksi sähköpostiksi”, ja sisäiset sähköpostit osoittavat myös, että ICO:n henkilökunta ilmaisi huolensa siitä, miksi elin päätti olla tutkimatta MoD:ta itsenäisesti tai antamatta sakkoa.

Julkisten tahojen tietomurrot on lain mukaan ilmoitettava ICO:lle, joka voi sitten päättää tutkia ja mahdollisesti sakottaa vastuussa olevaa organisaatiota.

ICO:n henkilökunta keskusteli yksityisesti mahdollisesta ”maineen riskistä” viranomaiselle sen jälkeen, kun se päätti olla ryhtymättä toimenpiteisiin MoD:ta vastaan, vaikka se oli antanut 350 000 punnan sakon paljon pienemmästä Afganistanin tietovuodosta vuonna 2023.

Eräässä sähköpostissa, joka lähetettiin iltapäivällä ennen kuin vuoto tuli julkisuuteen, yksi ICO:n henkilökunta sanoi, että heidän perustelunsa hallituksen sakottamatta jättämiselle oli edelleen ”epätäydellinen vastaus”.

Asiakirjat julkaistiin ICO:n toimesta aiemmin tässä kuussa tiedonvapauspyynnön jälkeen, joka ei ollut BBC:n tekemä.

Salaisissa tapaamisissa oli kielletty kirjoittamasta muistiinpanoja, mutta ICO:n muistio, joka kuvaa koko tapahtumien kulkua, laadittiin sen jälkeen, kun tapaus tuli julkisuuteen juuri viime kuussa.

Muistiossa kerrotaan, että MoD otti ”intensiivisiä toimenpiteitä tietojen palauttamiseksi ja poistamiseksi kaikista tunnistetuista lähteistä” ja ”rajoitti hallinnan menettämistä” tietovuodon jälkeen.

Yksityisessä sähköpostikeskustelussa yksi ICO:n henkilökunta kyseenalaisti, miksi ”kesti niin kauan päättää, tutkitaanko asiaa” ja sanoi, ”jos olisin toimittaja, kysyisin, miksi on kestänyt kaksi vuotta selvittää, ryhdytäänkö toimenpiteisiin”.

Toinen sanoi, että ICO:lla oli ollut ”merkittävä rooli”, mutta sanoi, että ”todellisuus on, että olemme voineet tarkastella tietoja vain paikan päällä ja olemme olleet riippuvaisia MoD:sta keräämään todisteita ohjeidemme mukaan”.

Asiakirjoista käy ilmi, että ICO päätti lopulta olla sakottamatta MoD:ta, koska se ei halunnut ”aiheuttaa lisäkustannuksia veronmaksajille”.

Viime viikolla BBC News paljasti, että viimeisten neljän vuoden aikana järjestössä, joka käsittelee afganistanilaisten turvapaikkahakemuksia Iso-Britanniaan, on tapahtunut 49 erillistä tietomurtoa.

ICO:n tiedottaja kertoi, että he ovat ”keskittyneet selkeästi siihen, että tietovuotojen syyt tunnistettaisiin, korjattaisiin ja opittaisiin”.

He sanoivat, että hallitus ei ole ”vielä tehnyt tarpeeksi saavuttaakseen tarvittavaa muutosten nopeutta” ja he ovat pyytäneet ”varmistuksia siitä, että tarvittavia parannuksia tehdään ja standardeja nostetaan”.

MoD:n tiedottaja sanoi, että hallitus on työskennellyt ”parantaakseen tietoturvaa koko osastolla paremman ohjelmiston, koulutuksen ja data-asiantuntijoiden avulla”. He lisäsivät: ”Olemme tehneet tiivistä yhteistyötä ICO:n kanssa sisäisen tutkimuksen aikana ja hyväksyneet kaikki suositukset täydellisesti varmistaaksemme, ettei vastaavaa tapausta tapahdu uudelleen.”

Lisäksi tietoturvaan liittyviä kysymyksiä voi tarkastella myös tapauksissa, kuten Venäjän vakoilualukseksi epäilty HAV Dolphin lähestyy Vaasaa täällä.

Lähde: bbc.com