Потеря данных о детских пособиях в Соединенном Королевстве (2007 г.)

Потеря данных о детских пособиях в Соединенном Королевстве была инцидентом утечки данных в октябре 2007 года, когда два компьютерных диска, принадлежащих HM Revenue and Customs, содержащие данные, касающиеся детских пособий, пропали. Инцидент был объявлен канцлером казначейства Алистером Дарлингом 20 ноября 2007 года. На двух дисках содержались персональные данные всех семей в Соединенном Королевстве (Великобритания), претендующих на детские пособия , ^[1] из которых получение в Великобритании составляет почти 100%. ^[2]

Потеря

Диски были отправлены младшими сотрудниками HM Revenue and Customs (HMRC), базирующимися в Waterview Park в Вашингтоне , Тайн и Уир , в Национальное аудиторское управление (NAO) в качестве незарегистрированной внутренней почты через TNT 18 октября. 24 октября NAO пожаловалось в HMRC, что они не получили данные. 8 ноября старшие должностные лица HMRC были проинформированы о потере, а канцлер казначейства Алистер Дарлинг был проинформирован 10 ноября. ^[3] 20 ноября Дарлинг объявил:

Два защищенных паролем диска, содержащих полную копию всех данных HMRC, касающихся выплаты детских пособий, были отправлены в NAO внутренней почтовой системой HMRC, которой управляет курьерская служба TNT. Посылка не была зарегистрирована или зарегистрирована. Похоже, данные не достигли адреса в NAO. ^[1]

Считалось, что потерянные данные касались приблизительно 25 миллионов человек в Великобритании (почти половина населения страны). Сообщалось, что персональные данные на пропавших дисках включали имена и адреса родителей и детей, даты рождения детей, а также номера национального страхования и банковские или жилищные данные их родителей. ^[3]

«Защита паролем», о которой идет речь, обеспечивается WinZip версии 8. ^[4] Это слабая, фирменная схема (неназванные алгоритмы шифрования и хэширования ) с хорошо известными атаками. ^[5] Любой, кто разбирается в вычислительной технике, сможет взломать эту защиту, загрузив легкодоступные инструменты. WinZip версии 9 представил шифрование AES , которое было бы надежным и взломалось бы только методом подбора .

В списке часто задаваемых вопросов ^[6] на сайте BBC News разбивка потерь была следующей:

• 7,25 млн. заявителей
• 15,5 миллионов детей, включая тех, кто больше не имеет права на получение пособия, но чьи семьи претендуют на ребенка младшего возраста
• 2,25 млн «альтернативных получателей платежей», таких как партнеры или опекуны
• 3000 «назначенцев», которые претендуют на пособие по предписанию суда
• 12 500 агентов, которые заявляют о выгоде от имени третьего лица

В то время как министры правительства утверждали, что виноват младший чиновник, консерваторы заявили, что вина частично лежит на высшем руководстве. Это было основано на заявлении о том, что Национальное аудиторское управление запросило удалить банковские реквизиты из данных до их отправки, но что HMRC отклонило этот запрос, потому что это было бы «слишком дорого и сложно». ^[7] Электронные письма, опубликованные 22 ноября, подтвердили, что старшие должностные лица HMRC были уведомлены о решении по соображениям стоимости не удалять конфиденциальную информацию. ^[8] Стоимость удаления конфиденциальной информации была указана в размере 5000 фунтов стерлингов . ^[9] Хотя в академическом исследовании было установлено, что стоимость была существенно меньше (650 фунтов стерлингов). ^[10]

По данным ИТ- журнала Computer Weekly , в нем говорилось, что еще в марте 2007 года NAO запросило отправить по почте на CD-дисках полную информацию из базы данных о детских пособиях, а не образец базы данных. В первый раз, когда это было сделано, все прошло гладко, и посылка была зарегистрированной почтой. Однако на этот раз она была незарегистрированной через курьера. ^[11]

Позже, 17 декабря 2007 года, выяснилось, что руководство по защите данных для HMRC само по себе было ограничено только старшими сотрудниками, а не младшими государственными служащими, которые имели лишь краткое изложение того, что говорится в руководстве по безопасности. ^[12]

Другие скандалы с данными

За этим последовало несколько других скандалов с данными. 17 декабря Рут Келли сообщила , что данные трех миллионов обучающихся водителей были утеряны в Соединенных Штатах . Однако единственными данными, которые, как сообщается, были утеряны, были: имя, адрес, номер телефона, уплаченная плата, центр тестирования, код оплаты и адрес электронной почты , поэтому особой паники не было из-за сниженного риска финансового мошенничества . 23 декабря было обнаружено, что девять трастов Национальной службы здравоохранения (NHS) также потеряли данные сотен тысяч пациентов, некоторые из них архивную информацию, некоторые из них медицинские записи, контактные данные и мягкие финансовые данные. Несколько других трастов также потеряли данные, но нашли их довольно быстро. Несколько других британских фирм также признали недостатки безопасности. ^[13]

Ответ

Дарлинг заявил, что нет никаких признаков того, что данные попали в руки преступников, но он призвал пострадавших следить за своими банковскими счетами. ^[1] Он сказал: «Если кто-то стал невинной жертвой мошенничества в результате этого инцидента, люди могут быть уверены, что у них есть защита в соответствии с Банковским кодексом, поэтому они не понесут никаких финансовых потерь в результате». Затем HMRC организовала горячую линию по пособиям на детей для тех, кто обеспокоен потерей данных. ^[3]

Председатель HMRC Пол Грей ушел в отставку

Инцидент был нарушением Закона Великобритании о защите данных и привел к отставке председателя HMRC Пола Грея ; Дарлинг прокомментировал, что диски, вероятно, были уничтожены, когда «охота была начата, вероятно, в течение нескольких дней», и что в HMRC была «непрозрачная» структура управления, и было трудно понять, кто за что отвечал. ^[14] Впоследствии было обнаружено, что Грей работал в Кабинете министров. ^{[15] [16]} Столичная полиция и Независимая комиссия по жалобам на полицию расследовали нарушение безопасности, а сотрудники полиции в форме провели расследование в офисах HMRC. Утрата вызвала большую критику со стороны исполняющего обязанности лидера либеральных демократов Винса Кейбла и теневого канцлера Джорджа Осборна . Осборн сказал:

Давайте проясним масштаб этой катастрофической ошибки — имена, адреса и даты рождения каждого ребенка в стране находятся на двух компьютерных дисках, которые, по-видимому, были утеряны по почте, а банковские реквизиты и номера национального страхования десяти миллионов родителей, опекунов и попечителей пропали без вести. ^[3]

Кроме того, он сказал, что это был «последний удар по амбициям этого правительства по созданию национальной базы данных удостоверений личности ». Кейбл также раскритиковал использование дисков в современную эпоху электронной передачи данных. Представители Гордона Брауна , однако, заявили, что премьер-министр полностью поддерживает Дарлинга, и заявили, что Дарлинг не выражал никакого намерения уйти в отставку. ^[3]

Общественная реакция общественности была гневной и обеспокоенной. Банки, частные лица, предприятия и правительственные департаменты стали более бдительными в отношении мошенничества с данными и кражи личных данных, а правительство пообещало быть более осторожным с данными. Общественность и СМИ были особенно возмущены тем фактом, что данные не были зарегистрированы или записаны, и что они не были надежно зашифрованы.

Ник Ассиндер, политический обозреватель BBC , выразил мнение, что, по его мнению, Дарлинг «находится в долгу». ^[17] Джордж Осборн , который сомневался, что Дарлинг «соответствует работе», предположил, что решение относительно будущего Дарлинга будет принято в течение нескольких дней. ^[18] Однако Дарлинг оставался канцлером до поражения лейбористов в 2010 году.

TNT заявила, что, поскольку доставка не была зарегистрирована, невозможно даже установить, была ли она действительно отправлена, не говоря уже о том, куда она была отправлена. ^[19]

Джереми Кларксон мошенничество с прямым дебетом

7 января 2008 года Джереми Кларксон оказался объектом мошенничества с прямым дебетом после того, как опубликовал данные своего банковского счета и сортировочного кода в своей колонке в The Sun, чтобы подчеркнуть, что общественное беспокойство по поводу скандала было излишним. Он написал: «Все, что вы сможете сделать с ними, это положить деньги на мой счет. Не снимать их. Честно говоря, я никогда не слышал такой болтовни из ничего». Затем кто-то использовал эти данные для создания прямого дебета на сумму 500 фунтов стерлингов в пользу благотворительной организации Diabetes UK . В своей следующей колонке в Sunday Times Кларксон написал: «Я был неправ, и меня наказали за мою ошибку». ^[20] Согласно условиям гарантии прямого дебета, платеж можно было отменить.

Смотрите также

• Список потерь данных правительства Великобритании
• Нарушения безопасности правительства Соединенного Королевства

Ссылки

1. "Darling признает, что 25 миллионов записей были утеряны". BBC . 2007-11-20. Архивировано из оригинала 2017-09-05 . Получено 2007-11-20 .
2. "Pressure on Darling over records". BBC . 2007-11-20. Архивировано из оригинала 2021-10-17 . Получено 2007-11-22 .
3. «Семьи Великобритании предупреждают о мошенничестве». BBC . 2007-11-20. Архивировано из оригинала 2017-09-05 . Получено 2007-11-20 .
4. Neumann, Peter G. (30 декабря 2007 г.). "HMRC Lost Discs & Encryption". The RISKS Digest . 24 (93). Архивировано из оригинала 3 января 2008 г. Получено 2 января 2008 г.
5. "Часто задаваемые вопросы по восстановлению/взлому паролей". Архивировано из оригинала 2008-02-10 . Получено 2008-02-05 .
6. «Катастрофа данных: ответы на ваши вопросы». BBC . 21.11.2007. Архивировано из оригинала 31.01.2009 . Получено 21.11.2007 .
7. "Свежие вопросы о кризисе данных". BBC . 2007-11-23. Архивировано из оригинала 2021-10-17 . Получено 2007-11-22 .
8. Электронное письмо от HMRC в NAO. Архивировано 27 ноября 2007 г. на Wayback Machine , 13 марта 2007 г. Веб-сайт NAO. Получено 23 ноября 2007 г.
9. 5000 фунтов стерлингов сделали бы диски HMRC безопасными ^{[ нерабочая ссылка ]} , 23 ноября 2007 г. telegraph.co.uk. Получено 25 ноября 2007 г.
10. Удаление конфиденциальных данных о детских пособиях обошлось бы в 650 фунтов стерлингов, 19 декабря 2007 г. www.port.ac.uk. Получено 20 декабря 2007 г.
11. "Пропавшие компакт-диски с детскими пособиями: что пошло не так и почему это продолжалось бы независимо". ComputerWeekly.com . Архивировано из оригинала 2007-12-24 . Получено 2007-12-17 .
12. "HMRC руководство по защите данных было защищено данные". The Register . Архивировано из оригинала 2007-12-19 . Получено 2007-12-17 .
13. "Фирмы признали еще два случая потери персональных данных". 2007-12-11. Архивировано из оригинала 2007-12-14 . Получено 2008-02-05 .
14. Дарлинг, Алистер (2011). Назад от края пропасти: 1000 дней на 11-м месте . Atlantic Books. ISBN 978-0857892799.
15. "Channel 4 - News - Paul Gray снова на работе". Архивировано из оригинала 2008-11-18 . Получено 2008-09-23 .
16. Саммерс, Дебора (2007-11-20). «Личные данные каждого ребенка в Великобритании, утерянные налоговой и таможенной службой». The Guardian . Лондон. Архивировано из оригинала 21-11-2007 . Получено 20-11-2007 .
17. "Оценка политического ущерба, Дарлинг и Браун". BBC . 2007-11-20. Архивировано из оригинала 2007-11-22 . Получено 2007-11-20 .
18. Министры под огнем критики из-за записей Архивировано 28.03.2009 на Wayback Machine BBC News получено 21 ноября 2007 г.
19. Компакт-диски «May Never Have Leave The Building» Архивировано 09.07.2008 в Wayback Machine Sky News — получено 22 ноября 2007 г.
20. Кларксон уязвлен после банковской шутки Архивировано 29 июля 2010 г. в Wayback Machine , BBC News

Внешние ссылки

• Заявление Алистера Дарлинга в парламенте
• Письмо с извинениями от HMRC
• Браун приносит извинения за потерю записей, приводит хронологию событий