2023年8月，北愛爾蘭警務(wù)處（PSNI）遭遇了一場數(shù)據(jù)泄露事件，導(dǎo)致9483名警官和文職人員的個人數(shù)據(jù)被曝光。這也是英國警方歷史上最嚴(yán)重的數(shù)據(jù)泄露事件，究其原因是警方網(wǎng)絡(luò)安全缺失，以及對數(shù)據(jù)保護的不重視（light touch approach）。12月11日，NPCC完成調(diào)查報告，并向PSNI和NIPB提交，對于此次數(shù)據(jù)泄露事件進行全面復(fù)盤，以發(fā)現(xiàn)英國警方內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)的不足，吸取經(jīng)驗教訓(xùn)。

數(shù)據(jù)泄露事件回顧

北愛爾蘭警察局 (PSNI) 響應(yīng)信息自由 (FOI) 請求，旨在確定 PSNI 官員的人數(shù)，但卻不慎將一個Excel電子表格進行了共享，該表格里包含了PSNI所有在職員工的敏感信息，包括姓名、職級，以及他們工作的位置和部門。

信息自由請求是個人或組織向政府機構(gòu)或公共機構(gòu)提出的正式詢問，以獲得該實體持有的記錄、文件或信息的訪問權(quán)限。信息自由請求的目的是通過允許公民請求和獲取有關(guān)政府機構(gòu)的運作、決策和活動的信息來促進透明度、問責(zé)制和開放政府。

美國有線電視新聞網(wǎng) (CNN) 報道稱，警員信息暴露給他們帶來了巨大的安全風(fēng)險，甚至還包括人身風(fēng)險。由于英國在該地區(qū)統(tǒng)治存在爭議，導(dǎo)致警方人員經(jīng)常成為攻擊目標(biāo)。

為此，北愛爾蘭警務(wù)處和北愛爾蘭警務(wù)委員會（NIPB）要求對該泄露事件進行獨立審查。由全國警察首席委員會（NPCC）信息安全負(fù)責(zé)人以及倫敦市警察局局長Pete O’Doherty領(lǐng)導(dǎo)的審查團隊，于2023年12月11日向PSNI和NIPB提交了他們的調(diào)查報告。

報告指出，該事件是由一個簡單的人為錯誤造成，包含官員和員工敏感信息的透視表隱藏在電子表格中，并且FOI在公布之前也沒有發(fā)現(xiàn)。

安全防護的疏漏之處在哪里？

同時報告強調(diào)，該泄露事件雖然看起來簡單，但卻并非由任何個人、團隊或部門的“單一孤立決策、行為或事件”所導(dǎo)致，相反，這是多種因素的后果。

因此，“人為錯誤”不過是表面原因，其根本原因在于，PSNI沒有做好相關(guān)的網(wǎng)絡(luò)安全防護，沒有更好、更主動地保障數(shù)據(jù)安全，沒有較早地識別和預(yù)防風(fēng)險，缺乏符合當(dāng)下實際情況的更敏捷、現(xiàn)代化的數(shù)據(jù)保護方式。

審查報告進一步指出，PSNI對數(shù)據(jù)保護和安全采取了“l(fā)ight touch approach”，即在這方面缺乏相應(yīng)的安全策略。且2018年頒布實施的《數(shù)據(jù)保護法》（DPA）并未完全落實，實施過程可能存在“過于樂觀”或“夸大其詞”的地方。

“關(guān)于數(shù)據(jù)保護影響評估（DPIAs）的義務(wù)沒有實現(xiàn)，但在記錄中卻被標(biāo)記為‘綠色’（通過），事實上未被通過的信息共享要求標(biāo)記為‘琥珀色’。數(shù)據(jù)泄露事件的報告沒有進行分類分級，如果存在官方敏感（以及更高）標(biāo)記，可能會促使PSNI以不同的方式處理信息，從而避免數(shù)據(jù)泄露。”

最后，審查報告還認(rèn)為，PSNI在安全建設(shè)中還“沒有認(rèn)識到數(shù)據(jù)保護官（DPO）角色的重要性，DPO沒有直接向組織最高層報告的機制，這已經(jīng)違背了法律的要求?！?/p>

敲響英國警方的安全警鐘

在審查報告的前言部分中，Pete O’Doherty表示這一事件“對于英國各個地方的警隊是一個安全警鐘”，提醒他們要認(rèn)真對待警方數(shù)據(jù)安全和信息保護。他進一步表示，審查報告中的很多內(nèi)容不止針對PSNI，同樣適用于英國其他地方的警隊。由于此次數(shù)據(jù)泄露事件，根據(jù)已經(jīng)收集到的信息，對PSNI的官員和員工產(chǎn)生了威脅。

這期數(shù)據(jù)泄露事件最終導(dǎo)致PSNI首席警司西蒙·伯恩在一個月內(nèi)離職，此外還有超過50人因病缺勤。截止到目前，已經(jīng)有超過4k名PSNI的員工（包括警官和平民員工）正在對警局采取法律行動。這些訴訟可能會使PSNI產(chǎn)生2400萬英鎊到3700萬英鎊（按當(dāng)下匯率，約為2.16億-3.33億人民幣）的額外費用。

在一次新聞發(fā)布會上，PSNI新任警察局長喬恩·布徹表示這是一份“艱難地閱讀”的報告，強調(diào)將“充分接受并吸取其中的教訓(xùn)”。正如審查報告所建議的那樣，PSNI已經(jīng)成立數(shù)據(jù)委員會。

PSNI 八大安全建議

NPCC的審查報告中概述了37項建議，其中涉及一些不便公開的，這里分享8條可公開的建議：

• 記錄網(wǎng)絡(luò)和數(shù)據(jù)價值最大化及合規(guī)性相關(guān)的戰(zhàn)略風(fēng)險，包括其在創(chuàng)新技術(shù)中的應(yīng)用；
• 確保定期對數(shù)據(jù)功能進行審計，考慮與其他警務(wù)或公共部門的專家合作；
• 將高級信息風(fēng)險所有者（SIRO）的職位定為副總警監(jiān)一級。SIRO還應(yīng)建立一個警力級別的數(shù)據(jù)委員會，包括明確的職責(zé)范圍和信息資產(chǎn)所有者（IAOs），數(shù)據(jù)業(yè)務(wù)領(lǐng)域負(fù)責(zé)人、數(shù)字化和組織變革等其他業(yè)務(wù)領(lǐng)域的負(fù)責(zé)人出席；
• 考慮引入一個類似于首席數(shù)據(jù)官的專家角色，監(jiān)督和協(xié)調(diào)數(shù)據(jù)功能；
• 仔細審查DPO的角色，考慮法定要求、匯報線、足夠的資源、問責(zé)功能和風(fēng)險管理；
• 將信息自由（FOI）流程記錄在一個標(biāo)準(zhǔn)操作程序中，簡化并去除所有相關(guān)文檔的重復(fù)操作；
• 緊急進行數(shù)據(jù)成熟度評估，以了解組織當(dāng)下的情況，并制定新的工作計劃，持續(xù)改進和協(xié)調(diào)現(xiàn)有服務(wù)，建立包括數(shù)據(jù)治理和數(shù)據(jù)倫理在內(nèi)的新能力；
• 考慮開展包括高層參與的組織安全意識提升活動，包括解釋信息自由的價值，信息安全和管理是每個人的工作，以及值班和非值班時的重要性。

網(wǎng)安大咖觀點

縱觀PSNI數(shù)據(jù)泄露事件，表面上看不過是員工的一次誤操作，卻產(chǎn)生了難以忍受的巨大損失。但隨著調(diào)查的深入，發(fā)現(xiàn)了英國警方存在的各類安全問題。

他山之石可以攻玉，在企業(yè)安全建設(shè)中是否同樣存在類似的問題，值得安全人深思。

張洪洋——西門子中國網(wǎng)絡(luò)安全審計師

作為在安全戰(zhàn)場上摸爬滾打多年的諸位都明白，在整個安全鏈條中最薄弱的一環(huán)就是人本身。因此，如何建立有效的機制和技術(shù)手段，從根上減少信息泄露的風(fēng)險才是安全從業(yè)者所需要追求的。在本次泄漏事件中，由于未進行有效的數(shù)據(jù)分類分級，導(dǎo)致PSNI獲取信息披露所需數(shù)據(jù)的時候，并不知曉該文檔所包含數(shù)據(jù)的敏感性，進而未能夠引起警覺。并且，獲取如此敏感的數(shù)據(jù)之前，也未有任何審批、審核機制，其權(quán)限配置也讓人詬病。因此，所謂“人為失誤”不過是一系列安全防護手段缺失導(dǎo)致的一種必然結(jié)果罷了。

趙銳——某跨國企業(yè)首席安全官

對任何組織和個人來說數(shù)據(jù)泄漏事件都是一場災(zāi)難，可能會造成嚴(yán)重的財務(wù)損失、聲譽損失、信任破裂、司法訴訟以及監(jiān)管處罰等責(zé)任。

對于組織和個人來說，要做好應(yīng)對數(shù)據(jù)泄漏事件的準(zhǔn)備，并盡力降低數(shù)據(jù)泄漏事件的可能性和事件造成損失。

• 清楚了解并遵守相關(guān)法律法規(guī)：組織應(yīng)根據(jù)業(yè)務(wù)所在國的數(shù)據(jù)保護法律法規(guī)和標(biāo)準(zhǔn)，妥善管理數(shù)據(jù)并保護個人信息。對于個人來說，要加強個人信息的保護意識，謹(jǐn)慎處理和分享個人敏感信息。
• 建立數(shù)據(jù)安全保護團隊并給予相應(yīng)的資源：組織應(yīng)建立從高級管理層直至基層業(yè)務(wù)運營的上下一體的數(shù)據(jù)安全保護團隊。明確數(shù)據(jù)負(fù)責(zé)人，和不同業(yè)務(wù)流程中的數(shù)據(jù)安全保護負(fù)責(zé)，并提供必要的資源，以便于開展各級數(shù)據(jù)安全保護工作。
• 加強數(shù)據(jù)保護措施：組織應(yīng)基于開展的業(yè)務(wù)、對應(yīng)的監(jiān)管要求和內(nèi)外部威脅，制定并實施嚴(yán)格的數(shù)據(jù)保護政策，包括：加密敏感數(shù)據(jù)、限制數(shù)據(jù)訪問權(quán)限、定期備份數(shù)據(jù)、隱私政策等。同時，完善數(shù)據(jù)相關(guān)的業(yè)務(wù)流程，更新和升級網(wǎng)絡(luò)安全設(shè)備和軟件，以確保系統(tǒng)能夠抵御最新的網(wǎng)絡(luò)攻擊。
• 持續(xù)監(jiān)測和檢測：采用合適并不斷更新的安全事件和威脅情報監(jiān)測技術(shù)，及時發(fā)現(xiàn)和阻止?jié)撛诘墓簟６ㄆ谶M行開展漏洞掃描、滲透測試等安全評估，及早發(fā)現(xiàn)并修補系統(tǒng)漏洞。
• 做好人員教育和培訓(xùn)：人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，通過培訓(xùn)員工識別、降低、避免釣魚、惡意軟件、主動漏洞等網(wǎng)絡(luò)攻擊，可以大大降低數(shù)據(jù)泄漏的風(fēng)險。
• 及時發(fā)現(xiàn)和響應(yīng)：應(yīng)建立緊急響應(yīng)計劃，以應(yīng)對數(shù)據(jù)泄漏事件。發(fā)現(xiàn)數(shù)據(jù)泄漏后，立即采取行動，中斷數(shù)據(jù)流失，修復(fù)和恢復(fù)損壞的系統(tǒng)。同時，在事件調(diào)查過程中與執(zhí)法機構(gòu)和相關(guān)利益相關(guān)者進行合作。
• 及時通知和溝通：當(dāng)數(shù)據(jù)泄漏事件發(fā)生時，及時通知相關(guān)當(dāng)事人，并提供必要的信息和支持。與利益相關(guān)的組織和個人建立積極的溝通渠道，向他們提供準(zhǔn)確的情況說明和解決方案。
• 購買保險：可以考慮購買網(wǎng)絡(luò)安全保險，以減輕數(shù)據(jù)泄漏事件帶來的財務(wù)損失，并為組織提供司法、事件調(diào)查和業(yè)務(wù)恢復(fù)等方面的費用支持。