Los datos personales de 4.142 niños y familias del personal de las fuerzas armadas del Reino Unido en servicio quedaron expuestos el año pasado en una violación de datos en el Ministerio de Defensa (MoD), uno de los siete incidentes relacionados con datos personales informados a la Oficina del Comisionado de Información (ICO) durante el Año de informe 2020-2021.
La brecha, que fue revelada en el Ministerio de Defensa Informe anual y cuentas 2020-21, relacionado con niños que asisten a las escuelas del Ministerio de Defensa, y ocurrió después de que una dirección de correo electrónico asociada con las escuelas del Ministerio de Defensa se vio comprometida durante un período de 72 horas en febrero de 2021.
Las escuelas del Ministerio de Defensa brindan educación a los hijos del personal de servicio y civiles con derecho al Ministerio de Defensa, contratistas y contribuyentes destinados en el extranjero. Las instalaciones se centran predominantemente en la educación infantil y primaria y están ubicadas en bases militares en Bélgica, Brunei, Chipre, las Islas Malvinas, Alemania, Gibraltar, Italia y los Países Bajos.
El servicio también brinda apoyo educativo y orientación para los hijos de los miembros del servicio que asisten a escuelas locales en estados aliados que no albergan bases en el Reino Unido, como Australia, Canadá y EE. UU., y mantiene el internado Queen Victoria en Dunblane, Escocia.
El Ministerio de Defensa no reveló en su informe a qué escuelas se vinculó el incidente, ni más detalles de la violación, como cómo ocurrió, quién pudo haber accedido a los datos y si alguien realmente lo hizo o no. Computer Weekly se acercó al Ministerio de Defensa para obtener más comentarios, pero el departamento no había respondido en el momento de la publicación.
Otros incidentes denunciables incluyeron una violación de mayo de 2020 en la que la identidad y las direcciones de casa de 147 miembros del personal del Ministerio de Defensa se enviaron accidentalmente por correo electrónico a organizaciones externas, incluidos periodistas; un incidente en el que se vieron detalles e imágenes de una persona lesionada tomadas de un registro de incidentes publicado en las redes sociales; un incidente en el que se redactaron incorrectamente documentos judiciales, exponiendo los datos de cinco personas involucradas en un caso legal; mientras que en otro incidente relacionado con la corte, se pasó incorrectamente al acusado una copia no editada de las acusaciones penales, lo que reveló la identidad de la víctima y las declaraciones de los testigos.
El ICO también fue notificado de incidentes que incluyen la publicación de información sobre cadetes y adultos voluntarios publicada en un grupo cerrado de redes sociales, y la publicación accidental de la pregunta de un miembro del público a su MP en el sitio web de la Cámara de los Comunes.
Las infracciones no notificables incluyeron 27 casos en los que se perdieron dispositivos o documentos del Ministerio de Defensa sin protección adecuada en instalaciones gubernamentales, siete casos en los que se perdieron fuera de las instalaciones gubernamentales, dos eliminaciones inseguras de documentos protegidos inadecuadamente, 479 incidentes de divulgación de datos no autorizados y 37 clasificados como ‘ otro’.
En total, el Ministerio de Defensa informó 552 incidentes no notificables, frente a los 546 del año que finalizó el 31 de marzo de 2020.
Donal Blaney, fundador de la práctica de litigio cibernético Griffin Law, pidió a la ICO que investigue a fondo. “Nuestros valientes soldados, marineros y personal de la fuerza aérea están dispuestos a sacrificar sus vidas, a menudo trabajando encubiertos y en condiciones extremas, para que podamos vivir en seguridad y libertad”, dijo.
“Lo mínimo que el Ministerio de Defensa podría hacer es mantener los datos personales de estos valientes héroes seguros y protegidos. En cambio, sus identidades, y potencialmente la seguridad de sus familias y amigos, han sido puestas en riesgo por los traficantes de bolígrafos”.
El cofundador y director ejecutivo de Tessian, Tim Sadler, agregó: “La gente está manejando más datos que nunca, y con eso viene la inevitabilidad del error humano. Los errores ocurren y, lamentablemente, pueden dar lugar a incidentes graves que comprometen la seguridad y la privacidad de los datos. Por ejemplo, los correos electrónicos que se envían a la persona equivocada siguen siendo una de las principales causas de las filtraciones de datos en la actualidad.
“Por lo tanto, las organizaciones deben contar con medidas de seguridad para evitar los errores de las personas antes de que se conviertan en filtraciones de datos, y deben encontrar formas de apoyar al personal que tiene acceso a grandes cantidades de datos valiosos o confidenciales para reducir el riesgo de infracciones normativas.
“Es fundamental que los empleados reciban la capacitación que necesitan para tomar las decisiones de seguridad cibernética correctas y que los equipos de seguridad tengan una mayor visibilidad para responder rápidamente a los incidentes cuando ocurran”, dijo.