El Ministerio de Justicia del Reino Unido (MoJ) informó de 17 violaciones graves de datos a la Oficina del Comisionado de Información (ICO) durante 2019-2020.
Según datos contenidos en el Informe anual del Ministerio de Justicia (2019-2020) y analizado por el grupo de expertos de Parliament Street, el departamento ha sido responsable de un catálogo de incidentes importantes de pérdida de datos personales que afectaron a un total de 121.355 personas.
Estos incluyeron una memoria USB extraviada y sin cifrar que contenía documentos de un juicio, la divulgación accidental de la identidad de un solicitante y los nombres de los niños en un caso de violencia doméstica y la pérdida de una computadora portátil y un teléfono que contenían datos personales de los empleados del Ministerio de Justicia.
Pero, con mucho, el incidente más grande revelado en el informe, que afectó a hasta 120,000 personas, involucró un error técnico de un subprocesador, que hizo que varios archivos en una base de datos de capacitación del personal fueran accesibles brevemente para usuarios no autenticados, lo que permitió una descarga completa y una parcial no autorizada. La información divulgada incluyó datos del personal, como nombres, lugares de trabajo, números de personal, números de seguros nacionales, direcciones de correo electrónico y registros de capacitación.
El segundo incidente más grande, que se dice que afectó a 143 personas, vio un conjunto de registros de la prisión enviados incorrectamente al prisionero equivocado, filtrando datos relacionados con los amigos, familiares, abogados y funcionarios del Ministerio de Justicia del delincuente.
En otro incidente, la dirección de un solicitante, así como los nombres de cinco niños, fueron revelados al demandado en un caso judicial por violencia doméstica.
Otros incidentes registrados incluyeron una memoria USB no encriptada perdida que contenía alrededor de 33,000 documentos de un juicio por fraude, y una computadora portátil, un diario, un cuaderno y documentos robados relacionados con los delincuentes, que se sacaron del automóvil de un oficial de libertad condicional.
Otro incidente involucró el robo en la casa de un miembro del personal, lo que resultó en el robo de una bolsa que contenía una computadora portátil y un teléfono móvil, y posteriormente se filtraron datos confidenciales de siete miembros del personal del Ministerio de Justicia.
De manera alarmante, dijo el informe, hubo varios incidentes en los que los detalles de una víctima se revelaron a la persona equivocada, como cuando se reveló la dirección de un solicitante de una orden de restricción a un perpetrador debido a un error en un tribunal de magistrados.
El Ministerio de Justicia también registró otros 6.425 incidentes de datos, que se consideraron no lo suficientemente sustanciales como para informar a la ICO. Unos 5.445 de estos fueron etiquetados como «divulgación no autorizada» y 823 implicaron la pérdida de «equipos electrónicos, dispositivos o documentos en papel protegidos inadecuadamente».
Otros incidentes notificados durante el período incluyeron la divulgación de los detalles incorrectos de 18,864 niños en las cartas del seguro nacional, un error de entrega que resultó en una respuesta a una solicitud de acceso del sujeto que se dirigió a la dirección incorrecta, papeleo dejado en un tren, una hoja de cálculo de Excel completa emitida por error en lugar de uno en blanco, y un asesor de HM Revenue and Customs (HMRC) accedió incorrectamente al registro de un contribuyente y emitió un reembolso a la madre de la persona.
De hecho, esta es la segunda ocurrencia reciente de un departamento gubernamental que infringe las pautas de datos. El 7 de diciembre, HMRC se refirió a la ICO sobre 11 incidentes de seguridad de datos separados entre abril de 2019 y abril de 2020.Estos incluyeron un ataque fraudulento que resultó en el robo de información de identificación personal sobre 64 empleados de tres esquemas de PAYE diferentes, lo que podría afectar hasta 573 personas, y un ciberataque a un agente de HMRC y sus datos que vio comprometidos los registros de pago de autoevaluación de 25 personas.
Al comentar sobre las infracciones del MoJ, Tim Sadler, CEO de Tessian, que se autodenomina la primera plataforma de seguridad de capa humana del mundo, dijo que, dado que las organizaciones esperan que las personas sean responsables de cada vez más datos confidenciales, se deben implementar medidas para evitar los errores que comprometer la seguridad.
«No hacerlo podría resultar en multas regulatorias y reputación arruinada», dijo. “La seguridad de los datos está, hoy en día, verdaderamente en manos de los empleados. Pero, a veces, los empleados cometen errores, como podemos ver en las infracciones informadas por el Ministerio de Justicia a la ICO.
“Es la naturaleza humana: la gente extravía cosas, enviamos correos electrónicos con información confidencial a la persona equivocada y hacemos clic en los botones equivocados. Y debido a que la gente tiene el control de más datos que nunca, el riesgo de que esos datos se filtren o se expongan accidentalmente solo está aumentando «.