A equipe do Ministério da Defesa foi avisada antes do vazamento de dados afegãos para não compartilhar informações contendo guias ocultas, de acordo com documentos divulgados pelo regulador de dados do Reino Unido.
No mês passado, surgiu que os detalhes de quase 19.000 pessoas que se inscreveram para se mudarem para o Reino Unido vazaram quando um oficial enviou uma planilha por e -mail que continha uma guia oculta com as informações.
Os documentos divulgados pelo escritório do Comissário da Informação (OIC) também mostram que os funcionários levantaram preocupações sobre por que o corpo não havia emitido uma multa para o mod.
O MOD disse que trabalhava para melhorar a segurança dos dados, mas um porta -voz da OIC disse que o governo ainda não havia feito o suficiente para aprender as lições.
De acordo com um memorando da OIC, as orientações em vigor no momento do vazamento mostraram que o “mod estava ciente dos riscos de compartilhar dados e referenciou explicitamente a necessidade de remover dados ocultos dos conjuntos de dados”.
As guias ocultas são um recurso comum no software de planilha e tornam as informações invisíveis para o usuário, mas ainda são facilmente acessíveis se as configurações em um documento forem alteradas.
O governo estima que o vazamento de 2022, o que levou a um esquema de reassentamento de emergência para pessoas em risco de perseguição pelo Taliban, acabará custando cerca de £ 850 milhões.
Uma super-junte concedida pelo Supremo Tribunal em setembro de 2023 impediu o incidente que estava sendo relatado por quase dois anos, antes de O pedido foi levantado no mês passado.
Logo após o MOD ter conhecimento da violação de dados em 2023, eles informaram o regulador de dados do Reino Unido, a OIC. Os dois órgãos realizaram várias reuniões secretas nos próximos dois anos e os documentos publicados pelo regulador revelam parte do que foi discutido.
Eles dizem que os funcionários do governo descreveram o vazamento como provável “o email mais caro já enviado”, e os e -mails internos também mostram que os funcionários da OIC levantaram preocupações sobre por que o corpo optou por não investigar independentemente o mod ou emitir uma multa.
Os violações de dados por órgãos públicos devem ser legalmente relatados à OIC, que pode decidir investigar e potencialmente multar a organização responsável.
A equipe da OIC discutiu em particular o potencial “risco de reputação” para o regulador depois de optar por não tomar medidas contra o MOD, apesar de emitir uma multa de £ 350 mil para uma violação de dados afegãos muito menor em 2023.
Em um e -mail enviado à tarde antes que o vazamento se tornasse público, um membro da equipe da OIC disse que sua justificativa por não multar o governo ainda era uma “resposta imperfeita”.
Os documentos foram publicados pela OIC no início deste mês, após uma solicitação de liberdade de informação que não foi enviada pela BBC.
As notas escritas foram proibidas durante as reuniões secretas, mas um memorando de OIC detalhando toda a linha do tempo foi elaborado depois que o incidente se tornou público no mês passado.
O memorando diz que o mod tomou “medidas intensivas para recuperar e excluir dados de todas as fontes identificadas” e “limitar a perda de controle” após a descoberta da violação.
Em uma discussão em e -mail privada, um membro da equipe da OIC questionou por que “demorou tanto tempo para decidir se investigou” e disse “se eu era jornalista, perguntava por que levou dois anos para verificar se deve ou não agir”.
Outro disse que a OIC havia desempenhado um “papel significativo”, mas disse que “a realidade é que só conseguimos revisar as informações in situ e dependem do mod para reunir evidências sob nossa orientação”.
Os documentos mostram que a OIC decidiu não sancionar o mod porque não queria “impor custos adicionais ao contribuinte”.
Semana passada, A BBC News revelou que houve 49 violações de dados separadas Nos últimos quatro anos, na unidade lidando com pedidos de realocação de afegãos que buscam segurança no Reino Unido.
Um porta -voz da OIC disse que “se concentrou claramente em garantir que as causas das violações fossem identificadas, retificadas e lições aprendidas”.
Eles disseram que o governo “ainda não fez o suficiente para alcançar o ritmo das mudanças” necessário e disse que havia pedido “garantias de que as melhorias necessárias estão sendo feitas e os padrões estão sendo levantados”.
Um porta -voz do Mod disse que o governo trabalhou para “melhorar a segurança dos dados em todo o departamento por meio de melhores especialistas em software, treinamento e dados”.
Eles acrescentaram: “Trabalhamos de mãos dadas com a OIC durante uma investigação interna e aceitamos todas as recomendações na íntegra para garantir que um incidente semelhante não aconteça novamente”.
