ICO tarkistaa lähestymistapaansa julkisen sektorin sakkoihin: mitä sen pitäisi päättää?

Kirjoittanut Phil Muncaster • 20 elokuu 2024

Tietojen rikkomisesta määrätyt sakot ovat nousussa. ISMS.onlinen mukaan Tietoturvan tilaraportti 2024, Keskimääräinen sakkojen määrä, jonka yritykset ilmoittivat viime vuonna, kasvoi lähes 4 % vuosittain 258,000 XNUMX puntaa. Tässä tutkimuksessa otetaan kuitenkin huomioon vain rahoitus, terveydenhuolto, valmistus, vähittäiskauppa ja teknologia. Julkisella sektorilla tietosuojavaltuutettu Information Commissioner's Office (ICO) on kokeillut lievempää lähestymistapaa sakkojen määräämiseen kahden vuoden ajan.

Päätös täytäntöönpanon jatkamisesta vai tiukemmasta linjasta odottaa syksyllä. Todisteet viittaavat siihen, että uudelleenarviointi on tarpeen.

Kaksi vuotta vetoa

ICO:n sakkojen analyysi URM-konsultointi korostaa julkisen ja yksityisen sektorin välistä sääntelyä koskevaa jyrkkää eroa. Viime vuonna järjestöille annetuista 29 huomautuksesta 20 kohdistui julkiseen sektoriin. Kaikki 17 kuitenkin määrättiin yksityisyrityksille sakkojen osalta.

Huomionarvoisimpia esimerkkejä ICO:n julkisen sektorin sakoista viimeisen kahden vuoden aikana ovat:

Pohjois-Irlannin poliisipalvelu (PSNI), joka vahingossa vuoti arkaluonteisia tietoja poliiseista, mitä on kuvattu yhdeksi pahimmista rikkomuksista, kun otetaan huomioon poliisivoimiin liittyvä arkaluonteisuus. Silti, vaikka palvelevien upseerien ja heidän perheidensä henki oli kiistatta vaarassa, mahdollinen sakko 5.6 miljoonan punnan 750,000 XNUMX puntaa

Tavistock ja Portman NHS Foundation Trust, joka vahingossa paljasti 1,781 900 Gender Identity Clinic -potilaan sähköpostiosoitteet, joista osa tunnistettiin julkisesti. Mahdollinen sakko leikattiin XNUMX %+ vain £ 78,400

Hallituksen toimisto, joka paljastui yli 1,000 500,000 uudenvuoden kunnialistalla ilmoitetun henkilön nimet ja muokkaamattomat osoitteet, mukaan lukien useat julkkikset. 50,000 XNUMX punnan sakko alennettiin XNUMX XNUMX puntaa

Puolustusministeriö (MOD), joka vuoti sähköpostitse erittäin arkaluontoista tietoa ihmisistä, jotka hakevat siirtoa Yhdistyneeseen kuningaskuntaan sen jälkeen, kun Taleban valtasi Afganistanin. 1 miljoonan punnan sakko leikattiin 350,000 XNUMX puntaa

NHS Highland, joka lähetti sähköpostin 37 henkilölle, jotka todennäköisesti käyttävät HIV-palveluita jakaen tietonsa toisilleen. 35,000 XNUMX punnan sakko alennettiin pelkäksi huomautukseksi.

Vaalilautakunta, joka antoi hakkereille pääsyn 40 miljoonan kansalaisen tietoihin useiden perusturvahäiriöiden jälkeen. Siitä ei määrätty sakkoja, vaan yksinkertaisesti sai moitteen.

Miksi ICO menee helposti?

ISMS.online-tietojen mukaan viime vuonna useammille Yhdistyneen kuningaskunnan yrityksille määrättiin sakkoja 250–500 26 puntaa (21 % vs. 2022 % vuonna 100) ja 250 35–18 12 puntaa (XNUMX % vs XNUMX %). Julkinen sektori kuitenkin pakeni. Tämä huolimatta hallituksen tietomurtotilastojen huononemisesta. mukaan ICO:n omat tiedot, asianajotoimiston analysoima Mischon de ReyaValtionhallinnon tietomurtojen kohteeksi joutuneiden henkilöiden määrä kasvoi ällistyttävän 8000 % vuosina 2019–2023. Uskomatonta, että pelkästään vuonna 195 ”talous- tai taloustietoihin” liittyvien tietoturvaloukkausten kohteena oli 2023 miljoonaa henkilöä, lähes kolme kertaa. Yhdistyneen kuningaskunnan väestöstä.

Joten miksi ICO-politiikan muutos? Tietokomissaari John Edwardsin mukaan se tiivistyy siihen tosiasiaan, että sakot muuttavat todennäköisesti yksityisen sektorin käyttäytymistä helpommin kuin julkisella sektorilla. Ja se, että valtiontalous on jo venynyt vaarallisen ohueksi.

”En ole vakuuttunut siitä, että suuret sakot yksinään ovat yhtä tehokas pelote julkisella sektorilla. Ne eivät vaikuta osakkeenomistajiin tai yksittäisiin johtajiin samalla tavalla kuin yksityisellä sektorilla, vaan ne tulevat suoraan palvelujen tarjoamisen budjetista. hän kirjoitti kesäkuussa 2022.

”Julkisen sektorin sakon vaikutukset kohdistuvat usein myös loukkauksen uhreihin, elintärkeiden palvelujen budjetin pienentymisenä, ei tekijöihin. Käytännössä rikkomuksen kohteena olevia ihmisiä rangaistaan kahdesti."

Kuitenkin logiikka sakkojen pelotteena on hieman epäselvä. ISMS.online-tutkimuksen mukaan vain viidesosa (19 %) vastanneista yrityksistä sanoo, että heidän ensisijainen motiivinsa noudattaa sitä on välttää seuraamuksia. Paljon enemmän puhutaan kilpailukyvyn säilyttämisestä (34 %), asiakkaiden kysynnän lisäämisestä (34 %) sekä liiketoiminnan (30 %) ja asiakastietojen (29 %) suojaamisesta. Mikään näistä muista motivoivista tekijöistä ei ole erityisen merkityksellinen julkiselle sektorille, joten sakot ovat yksi harvoista ICO:n käytettävissä olevista keinoista.

Hämmennystä lisää se, että ICO:n sisältä tulee sekalaisia viestejä. John Edwards oli raportoitu vasta äskettäin sanoi, että hänen politiikkansa olla rankaisematta julkista sektoria vaan antaa ei-sitovia moitteita oli "erittäin tehokasta, erityisesti julkisella sektorilla, jossa maine on arvokkaampi kuin kukkaro". Hänellä on kuitenkin hyväksymisestä lähtien että saatavilla on vain vähän näyttöä jopa rahallisten seuraamusten vaikutuksen arvioimiseksi alalle.

"Odotan, että tulevassa katsauksessa on joitain tietoja ja muuta näyttöä esimerkiksi siitä, onko ICO nähnyt todisteita vaatimustenmukaisuuden paranemisesta julkisella sektorilla julkisen sektorin lähestymistavan seurauksena", Mishcon de Reya senior data suojausasiantuntija Jon Baines kertoo ISMS.onlinelle.

”Anekdoottisesti sanoisin, että olemme sen sijaan nähneet köyhempiä noudattamista. En ole edelleenkään vakuuttunut siitä, että julkista sektoria on syytä kohdella eri tavalla kuin mitä tahansa muuta sektoria. Pelkään, että "julkisen sektorin lähestymistapa" rajoittaa ICO:n harkintavaltaa ryhtyä tehokkaisiin, oikeasuhteisiin ja pelotetoimiin."

Tilaa parannuksille

Mitä sitten tapahtuu? Baines selittää, että ennen GDPR:ää ICO:lla oli tapana vaatia rekisterinpitäjältä "sitoumus" tehdäkseen parannuksia – jos organisaation havaittiin olevan puutteellinen, mutta sakko tai täytäntöönpanotoimi ei ollut perusteltua.

"En näe mitään syytä, miksi ICO ei voisi jatkaa tätä lähestymistapaa asianmukaisissa tapauksissa: se aiheuttaisi velvollisuuksia ylemmille johtajille varmistaakseen, että heidän lupauksensa pidetään. Kokemukseni mukaan nuo "yritykset" olivat erittäin tehokkaita keskittämään ylempien johtajien mielet tietosuojan noudattamisen tärkeyteen", hän lisää.

"Ehdotan myös, että hallitus harkitsee, voisiko se haluta antaa ICO:lle lainsäädännöllä muodollisia valtuuksia hakea tällaisia sitoumuksia ja mahdollisuus sanktioihin yksityishenkilöitä – samoin kuin organisaatioita – vastaan, jos sitoumuksia rikotaan. Uskon, että sillä olisi silloin käytettävissä joukko voimavaroja, jotka yksittäin tai yhdessä voisivat olla tehokkaita."

Tämän hämmennyksen keskellä julkisen sektorin organisaatioiden paras tapa hallita kohtaloaan on ennaltaehkäisevästi pienentää rikkomisriskejä. ICO on hyödyllisesti korostanut asioita, joita sekä julkisen että yksityisen sektorin yritysten tulisi tehdä tässä suhteessa. Se on aiemmin ryhtynyt toimiin organisaatioita vastaan, jotka eivät ole:

Ota käyttöön monitekijätodennus (MFA) ulkoisissa yhteyksissä.

Kirjaa ja tarkkaile järjestelmiä ja toimi, kun tietoja tai RDP-yhteyksiä tapahtuu odottamatta

Toimi päätepistehälytyksissä, kuten haittaohjelmien torjuntatyökalujen tuottamissa

Käytä vahvoja ja ainutlaatuisia salasanoja sisäisillä tileillä – erityisesti etuoikeutetuilla tileillä.

Korjaa tunnetut haavoittuvuudet.

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 6 tammikuu 2026

Viisi tietoturva- ja vaatimustenmukaisuustrendiä, joihin kannattaa kiinnittää huomiota vuonna 2026

Miltä tulevat 12 kuukautta näyttävät kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaisille? Olemme perehtyneet uutisiin, omaksuneet alan ennusteita...

Phil Muncaster

tietoverkkoturvallisuus 11 joulukuu 2025

Onko agenttien tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

Onko agenttisen tekoälyn tietoturvaloukkaus väistämätön vuonna 2026?

ChatGPT:n lanseerauksesta on ehkä kolme vuotta, jolloin se käynnisti uuden teknologiavarustelukilpailun, mutta nyt kaikkien katseet ovat agenttisessa tekoälyssä. Kannustajien mukaan se...

Phil Muncaster

Tietoturva 9 joulukuu 2025

vuosi vaatimustenmukaisuuden parissa viisi asiaa, jotka opimme vuonna 2025 banner

Vuosi vaatimustenmukaisuudessa: Viisi asiaa, jotka opimme vuonna 2025

Viimeiset 12 kuukautta ovat jälleen kerran osoittaneet, että kyberturvallisuuskentässä on harvoin pulaa häiriöistä. Suuret tietoturvaloukkaukset maksavat organisaatioille ...

Phil Muncaster