Osobní údaje desítek tisíc pracovníků veřejného sektoru mohly uniknout při kybernetickém útoku, který zasáhl dvě z největších britských policejních složek, uvedl odborník.
Více než 12 500 policistů a zaměstnanců Greater Manchester Police (GMP) bylo ve čtvrtek upozorněno, protože jejich soukromá data byla kompromitována při hackování, které minulý měsíc zasáhlo také Metropolitní policii.
Podrobnosti o kartách zatykačů důstojníků – včetně jmen, hodností, fotografií a sériových čísel – byly pravděpodobně získány během útoku ransomwaru na dodavatele třetí strany používaného oběma silami.
Národní kriminální agentura (NCA) oznámila, že zahájila trestní vyšetřování porušení zákona společnosti Digital ID se sídlem ve Stockportu, která vyrábí průkazy totožnosti a šňůrky na krk pro řadu britských organizací, včetně několika trustů a univerzit NHS.
Toby Lewis, bývalý manažer incidentů v Národním centru kybernetické bezpečnosti, řekl, že pravděpodobně byly kompromitovány i personální údaje jiných organizací, které společnost poskytla. Společnost trvala na tom, že většina jejích zákazníků nebyla ovlivněna.
Na znamení závažnosti útoku NCA uvedl, že spolupracuje s Národním kriminálním centrem a Úřadem komisaře pro informace, „aby plně porozuměl dopadu incidentu a podpořil organizace, jejichž údaje byly konzultovány.
Lewis, nyní vedoucí analýzy hrozeb ve firmě Darktrace zabývající se kybernetickou bezpečností, uvedl, že je pravděpodobné, že celá zákaznická základna společnosti byla napadena hackery.
Řekl: „Pokud máte průkaz vytvořený pomocí digitálního ID, je naprosto možné, že vaše osobní údaje, které byly použity k vytvoření tohoto průkazu, mohly být ztraceny. [have] byl chycen při tomto ransomwarovém útoku a mohl by uniknout online, pokud se společnost rozhodne nezaplatit výkupné.
Na otázku, zda by to mohlo mít dopad na desítky tisíc lidí, Lewis zdůraznil, že nezná velikost firemní databáze, ale dodal: „Vzhledem k jejich zákazníkům bychom mohli mluvit o těchto typech čísel. »
Společnost Digital ID uvedla, že minulý měsíc informovala kybernetické odborníky, když se o incidentu dozvěděla. Společnost říká, že většina jejích zákazníků kupuje její tiskárny a poté vyrábí identifikační karty ve svých vlastních kancelářích, což znamená, že nepřenášejí obrovské množství dat zaměstnanců třetí straně. BBC by byla jedním z těchto klientů.
Malý počet dalších zákazníků, včetně Metropolitní policie a GMP, však poskytuje údaje svých zaměstnanců společnosti Digital ID, aby jim společnost mohla karty vytisknout.
Zdroj uvedl, že většina z těchto ID karet byla neaktivní, když opustily centrálu Digital ID. Zdá se však, že kyberútočníci se k těmto datům dostali prostřednictvím jejích systémů.
Narušení vyvolá vážné bezpečnostní obavy vzhledem k vysoce citlivé povaze policejní práce v obou silách, které dohromady zaměstnávají více než 60 000 důstojníků a personálu a mají nejaktivnější britské protiteroristické jednotky.
Pouhé týdny poté, co byla online zveřejněna jména a iniciály 10 000 zaměstnanců policejní služby Severního Irska poté, co byli náhodně zahrnuti do odpovědi na žádost o přístup k informacím, vznese další otázky o ochraně údajů v policii Spojeného království.
Policejní federace uvedla, že před třemi lety upozornila metropolitní policii na potenciální nebezpečí outsourcingu citlivých operačních materiálů.
Mike Peake, předseda Policejní federace Greater Manchester, řekl, že policisté by se oprávněně obávali nejnovějšího narušení bezpečnosti. Řekl: „Naši kolegové přebírají některé z nejobtížnějších a nejnebezpečnějších rolí, jaké si lze představit, aby zastavili zločince a zajistili bezpečnost veřejnosti. Mít osobní informace potenciálně uvolněné do veřejné sféry tímto způsobem – aby je všichni viděli – pochopitelně způsobí znepokojení a obavy mnoha úředníků. Pracujeme silou, abychom zmírnili nebezpečí a rizika, která by toto porušení mohlo představovat pro naše kolegy.
Společnost GMP čelí otázkám, proč poprvé informovala své zaměstnance o incidentu ve středu, téměř tři týdny poté, co se porušení dostalo na veřejnost.
V e-mailu zaměstnancům síly uvedly, že vyšetřovatelé zjistili, že data odznaků, včetně jmen, hodností, fotografií a sériových čísel, „mohla být zpřístupněna“.
Řekl, že některé fotografie obsahují „geolokační data“ – informace, které odhalují, kde přesně byla fotografie pořízena nebo odkud byla nahrána – a že tito lidé byli kontaktováni.
Podle e-mailu sdíleného s Manchester Evening News v této fázi nic nenasvědčuje tomu, že by nějaké osobní informace byly zveřejněny online.
Jakékoli identifikovatelné policejní údaje by byly pro zločince velmi cenné, protože by mohly být použity k vydávání se za policisty, odcizení jejich identity nebo narušení vyšetřování.
Řada 8 000 úředníků GMP pracuje v tajných rolích, což znamená, že krádež jejich osobních údajů představuje značné riziko pro jejich bezpečnost a pro tajná vyšetřování, na kterých pracují.
Colin McFarlane, zástupce náčelníka policie z Greater Manchester Police, řekl: „Jsme si vědomi útoku ransomwaru, který postihuje dodavatele třetí strany pro různé britské organizace, včetně GMP, které uchovávají informace o jednotlivcích zaměstnaných GMP. V této fázi se domníváme, že tato data neobsahují finanční informace.
“Chápeme, jak znepokojivé je to pro naše zaměstnance. Protože pracujeme na tom, abychom porozuměli jakémukoli dopadu na GMP, kontaktovali jsme Kancelář komisaře pro informace a děláme vše, co je v našich silách, abychom zajistili, že zaměstnanci budou informováni, že jejich otázky budou zodpovězeny a budou mít pocit, že Tato záležitost je řešena s maximální vážností a v souvislosti s tímto útokem probíhá celostátní trestní vyšetřování.“
Elizabeth Baxter, vedoucí kybernetického vyšetřování Úřadu komisaře pro informace, řekla: „Policisté a zaměstnanci očekávají, že jejich informace budou v bezpečí, a pokud se tak nestane, mají právo být znepokojeni. Tento incident nám byl nahlášen a my se nyní podíváme na to, co se stalo, a položíme otázky jménem všech zúčastněných.