2023年8月，北愛爾蘭警務(wù)處（PSNI）遭遇了一場數(shù)據(jù)泄露事件，導(dǎo)致9483名警官和文職人員的個(gè)人數(shù)據(jù)被曝光。這也是英國警方歷史上最嚴(yán)重的數(shù)據(jù)泄露事件，究其原因是警方網(wǎng)絡(luò)安全缺失，以及對數(shù)據(jù)保護(hù)的不重視（light touch approach）。12月11日，NPCC完成調(diào)查報(bào)告，并向PSNI和NIPB提交，對于此次數(shù)據(jù)泄露事件進(jìn)行全面復(fù)盤，以發(fā)現(xiàn)英國警方內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)的不足，吸取經(jīng)驗(yàn)教訓(xùn)。

數(shù)據(jù)泄露事件回顧

北愛爾蘭警察局 (PSNI) 響應(yīng)信息自由 (FOI) 請求，旨在確定 PSNI 官員的人數(shù)，但卻不慎將一個(gè)Excel電子表格進(jìn)行了共享，該表格里包含了PSNI所有在職員工的敏感信息，包括姓名、職級，以及他們工作的位置和部門。

信息自由請求是個(gè)人或組織向政府機(jī)構(gòu)或公共機(jī)構(gòu)提出的正式詢問，以獲得該實(shí)體持有的記錄、文件或信息的訪問權(quán)限。信息自由請求的目的是通過允許公民請求和獲取有關(guān)政府機(jī)構(gòu)的運(yùn)作、決策和活動的信息來促進(jìn)透明度、問責(zé)制和開放政府。

美國有線電視新聞網(wǎng) (CNN) 報(bào)道稱，警員信息暴露給他們帶來了巨大的安全風(fēng)險(xiǎn)，甚至還包括人身風(fēng)險(xiǎn)。由于英國在該地區(qū)統(tǒng)治存在爭議，導(dǎo)致警方人員經(jīng)常成為攻擊目標(biāo)。

為此，北愛爾蘭警務(wù)處和北愛爾蘭警務(wù)委員會（NIPB）要求對該泄露事件進(jìn)行獨(dú)立審查。由全國警察首席委員會（NPCC）信息安全負(fù)責(zé)人以及倫敦市警察局局長Pete O’Doherty領(lǐng)導(dǎo)的審查團(tuán)隊(duì)，于2023年12月11日向PSNI和NIPB提交了他們的調(diào)查報(bào)告。

報(bào)告指出，該事件是由一個(gè)簡單的人為錯(cuò)誤造成，包含官員和員工敏感信息的透視表隱藏在電子表格中，并且FOI在公布之前也沒有發(fā)現(xiàn)。

安全防護(hù)的疏漏之處在哪里？

同時(shí)報(bào)告強(qiáng)調(diào)，該泄露事件雖然看起來簡單，但卻并非由任何個(gè)人、團(tuán)隊(duì)或部門的“單一孤立決策、行為或事件”所導(dǎo)致，相反，這是多種因素的后果。

因此，“人為錯(cuò)誤”不過是表面原因，其根本原因在于，PSNI沒有做好相關(guān)的網(wǎng)絡(luò)安全防護(hù)，沒有更好、更主動地保障數(shù)據(jù)安全，沒有較早地識別和預(yù)防風(fēng)險(xiǎn)，缺乏符合當(dāng)下實(shí)際情況的更敏捷、現(xiàn)代化的數(shù)據(jù)保護(hù)方式。

審查報(bào)告進(jìn)一步指出，PSNI對數(shù)據(jù)保護(hù)和安全采取了“l(fā)ight touch approach”，即在這方面缺乏相應(yīng)的安全策略。且2018年頒布實(shí)施的《數(shù)據(jù)保護(hù)法》（DPA）并未完全落實(shí)，實(shí)施過程可能存在“過于樂觀”或“夸大其詞”的地方。

“關(guān)于數(shù)據(jù)保護(hù)影響評估（DPIAs）的義務(wù)沒有實(shí)現(xiàn)，但在記錄中卻被標(biāo)記為‘綠色’（通過），事實(shí)上未被通過的信息共享要求標(biāo)記為‘琥珀色’。數(shù)據(jù)泄露事件的報(bào)告沒有進(jìn)行分類分級，如果存在官方敏感（以及更高）標(biāo)記，可能會促使PSNI以不同的方式處理信息，從而避免數(shù)據(jù)泄露。”

最后，審查報(bào)告還認(rèn)為，PSNI在安全建設(shè)中還“沒有認(rèn)識到數(shù)據(jù)保護(hù)官（DPO）角色的重要性，DPO沒有直接向組織最高層報(bào)告的機(jī)制，這已經(jīng)違背了法律的要求。”

敲響英國警方的安全警鐘

在審查報(bào)告的前言部分中，Pete O’Doherty表示這一事件“對于英國各個(gè)地方的警隊(duì)是一個(gè)安全警鐘”，提醒他們要認(rèn)真對待警方數(shù)據(jù)安全和信息保護(hù)。他進(jìn)一步表示，審查報(bào)告中的很多內(nèi)容不止針對PSNI，同樣適用于英國其他地方的警隊(duì)。由于此次數(shù)據(jù)泄露事件，根據(jù)已經(jīng)收集到的信息，對PSNI的官員和員工產(chǎn)生了威脅。

這期數(shù)據(jù)泄露事件最終導(dǎo)致PSNI首席警司西蒙·伯恩在一個(gè)月內(nèi)離職，此外還有超過50人因病缺勤。截止到目前，已經(jīng)有超過4k名PSNI的員工（包括警官和平民員工）正在對警局采取法律行動。這些訴訟可能會使PSNI產(chǎn)生2400萬英鎊到3700萬英鎊（按當(dāng)下匯率，約為2.16億-3.33億人民幣）的額外費(fèi)用。

在一次新聞發(fā)布會上，PSNI新任警察局長喬恩·布徹表示這是一份“艱難地閱讀”的報(bào)告，強(qiáng)調(diào)將“充分接受并吸取其中的教訓(xùn)”。正如審查報(bào)告所建議的那樣，PSNI已經(jīng)成立數(shù)據(jù)委員會。

PSNI 八大安全建議

NPCC的審查報(bào)告中概述了37項(xiàng)建議，其中涉及一些不便公開的，這里分享8條可公開的建議：

• 記錄網(wǎng)絡(luò)和數(shù)據(jù)價(jià)值最大化及合規(guī)性相關(guān)的戰(zhàn)略風(fēng)險(xiǎn)，包括其在創(chuàng)新技術(shù)中的應(yīng)用；
• 確保定期對數(shù)據(jù)功能進(jìn)行審計(jì)，考慮與其他警務(wù)或公共部門的專家合作；
• 將高級信息風(fēng)險(xiǎn)所有者（SIRO）的職位定為副總警監(jiān)一級。SIRO還應(yīng)建立一個(gè)警力級別的數(shù)據(jù)委員會，包括明確的職責(zé)范圍和信息資產(chǎn)所有者（IAOs），數(shù)據(jù)業(yè)務(wù)領(lǐng)域負(fù)責(zé)人、數(shù)字化和組織變革等其他業(yè)務(wù)領(lǐng)域的負(fù)責(zé)人出席；
• 考慮引入一個(gè)類似于首席數(shù)據(jù)官的專家角色，監(jiān)督和協(xié)調(diào)數(shù)據(jù)功能；
• 仔細(xì)審查DPO的角色，考慮法定要求、匯報(bào)線、足夠的資源、問責(zé)功能和風(fēng)險(xiǎn)管理；
• 將信息自由（FOI）流程記錄在一個(gè)標(biāo)準(zhǔn)操作程序中，簡化并去除所有相關(guān)文檔的重復(fù)操作；
• 緊急進(jìn)行數(shù)據(jù)成熟度評估，以了解組織當(dāng)下的情況，并制定新的工作計(jì)劃，持續(xù)改進(jìn)和協(xié)調(diào)現(xiàn)有服務(wù)，建立包括數(shù)據(jù)治理和數(shù)據(jù)倫理在內(nèi)的新能力；
• 考慮開展包括高層參與的組織安全意識提升活動，包括解釋信息自由的價(jià)值，信息安全和管理是每個(gè)人的工作，以及值班和非值班時(shí)的重要性。

網(wǎng)安大咖觀點(diǎn)

縱觀PSNI數(shù)據(jù)泄露事件，表面上看不過是員工的一次誤操作，卻產(chǎn)生了難以忍受的巨大損失。但隨著調(diào)查的深入，發(fā)現(xiàn)了英國警方存在的各類安全問題。

他山之石可以攻玉，在企業(yè)安全建設(shè)中是否同樣存在類似的問題，值得安全人深思。

張洪洋——西門子中國網(wǎng)絡(luò)安全審計(jì)師

作為在安全戰(zhàn)場上摸爬滾打多年的諸位都明白，在整個(gè)安全鏈條中最薄弱的一環(huán)就是人本身。因此，如何建立有效的機(jī)制和技術(shù)手段，從根上減少信息泄露的風(fēng)險(xiǎn)才是安全從業(yè)者所需要追求的。在本次泄漏事件中，由于未進(jìn)行有效的數(shù)據(jù)分類分級，導(dǎo)致PSNI獲取信息披露所需數(shù)據(jù)的時(shí)候，并不知曉該文檔所包含數(shù)據(jù)的敏感性，進(jìn)而未能夠引起警覺。并且，獲取如此敏感的數(shù)據(jù)之前，也未有任何審批、審核機(jī)制，其權(quán)限配置也讓人詬病。因此，所謂“人為失誤”不過是一系列安全防護(hù)手段缺失導(dǎo)致的一種必然結(jié)果罷了。

趙銳——某跨國企業(yè)首席安全官

對任何組織和個(gè)人來說數(shù)據(jù)泄漏事件都是一場災(zāi)難，可能會造成嚴(yán)重的財(cái)務(wù)損失、聲譽(yù)損失、信任破裂、司法訴訟以及監(jiān)管處罰等責(zé)任。

對于組織和個(gè)人來說，要做好應(yīng)對數(shù)據(jù)泄漏事件的準(zhǔn)備，并盡力降低數(shù)據(jù)泄漏事件的可能性和事件造成損失。

• 清楚了解并遵守相關(guān)法律法規(guī)：組織應(yīng)根據(jù)業(yè)務(wù)所在國的數(shù)據(jù)保護(hù)法律法規(guī)和標(biāo)準(zhǔn)，妥善管理數(shù)據(jù)并保護(hù)個(gè)人信息。對于個(gè)人來說，要加強(qiáng)個(gè)人信息的保護(hù)意識，謹(jǐn)慎處理和分享個(gè)人敏感信息。
• 建立數(shù)據(jù)安全保護(hù)團(tuán)隊(duì)并給予相應(yīng)的資源：組織應(yīng)建立從高級管理層直至基層業(yè)務(wù)運(yùn)營的上下一體的數(shù)據(jù)安全保護(hù)團(tuán)隊(duì)。明確數(shù)據(jù)負(fù)責(zé)人，和不同業(yè)務(wù)流程中的數(shù)據(jù)安全保護(hù)負(fù)責(zé)，并提供必要的資源，以便于開展各級數(shù)據(jù)安全保護(hù)工作。
• 加強(qiáng)數(shù)據(jù)保護(hù)措施：組織應(yīng)基于開展的業(yè)務(wù)、對應(yīng)的監(jiān)管要求和內(nèi)外部威脅，制定并實(shí)施嚴(yán)格的數(shù)據(jù)保護(hù)政策，包括：加密敏感數(shù)據(jù)、限制數(shù)據(jù)訪問權(quán)限、定期備份數(shù)據(jù)、隱私政策等。同時(shí)，完善數(shù)據(jù)相關(guān)的業(yè)務(wù)流程，更新和升級網(wǎng)絡(luò)安全設(shè)備和軟件，以確保系統(tǒng)能夠抵御最新的網(wǎng)絡(luò)攻擊。
• 持續(xù)監(jiān)測和檢測：采用合適并不斷更新的安全事件和威脅情報(bào)監(jiān)測技術(shù)，及時(shí)發(fā)現(xiàn)和阻止?jié)撛诘墓簟６ㄆ谶M(jìn)行開展漏洞掃描、滲透測試等安全評估，及早發(fā)現(xiàn)并修補(bǔ)系統(tǒng)漏洞。
• 做好人員教育和培訓(xùn)：人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，通過培訓(xùn)員工識別、降低、避免釣魚、惡意軟件、主動漏洞等網(wǎng)絡(luò)攻擊，可以大大降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。
• 及時(shí)發(fā)現(xiàn)和響應(yīng)：應(yīng)建立緊急響應(yīng)計(jì)劃，以應(yīng)對數(shù)據(jù)泄漏事件。發(fā)現(xiàn)數(shù)據(jù)泄漏后，立即采取行動，中斷數(shù)據(jù)流失，修復(fù)和恢復(fù)損壞的系統(tǒng)。同時(shí)，在事件調(diào)查過程中與執(zhí)法機(jī)構(gòu)和相關(guān)利益相關(guān)者進(jìn)行合作。
• 及時(shí)通知和溝通：當(dāng)數(shù)據(jù)泄漏事件發(fā)生時(shí)，及時(shí)通知相關(guān)當(dāng)事人，并提供必要的信息和支持。與利益相關(guān)的組織和個(gè)人建立積極的溝通渠道，向他們提供準(zhǔn)確的情況說明和解決方案。
• 購買保險(xiǎn)：可以考慮購買網(wǎng)絡(luò)安全保險(xiǎn)，以減輕數(shù)據(jù)泄漏事件帶來的財(cái)務(wù)損失，并為組織提供司法、事件調(diào)查和業(yè)務(wù)恢復(fù)等方面的費(fèi)用支持。