SG.hu
Hogyan szivárogtak ki a brit katonákat segítő afgánok adatai?
Több ezer afgán személyazonosító adatai szivárogtak ki a brit Védelmi Minisztériumból, és nem ez volt az első eset, amely kérdéseket vet fel érzékeny adatok kezelésével kapcsolatban a hivatalban. A kaotikus kabuli evakuálás során valószínűleg figyelmen kívül hagyták a biztonsági szobák használatát és a titkossági besorolásokat a kormányzati e-maileknél.
A brit védelmi minisztérium 2022?februárjában egy súlyos adatvédelmi hibát követett el: egy hivatalnok e-mailje nyomán 18?700 afgán neve, elérhetőségi adatai és kapcsolatai kerültek nyilvánosságra a szigetországban dolgozó szakemberekkel. A hiba csak 2023 augusztusában derült ki, amikor a részletek egy Facebook?csoportban megjelentek. A brit kormány ezután különleges, „szuperfokozatú” bírósági végzést (super injunction) kezdeményezett, amely megtiltotta nemcsak az incidens nyilvánosságra hozatalát, hanem magának a tilalomnak a létezését is.
A botrány hatására a konzervatív kormány létrehozott egy titkos relokációs programot, az úgynevezett Afghan Response Route?t (ARR), amely során körülbelül 900 érintett afgán kérelmezőt és mintegy 3?600 családtagot telepítettek át az Egyesült Királyságba. A program költsége 850 millió font volt, és a végzendő feladatokat éveken át titokban tartották, még a parlamentet is kizárták belőle. A titkosítás csak ezen a héten került feloldásra egy bírósági döntés nyomán, ekkor vált nyilvánossá mind az adatvédelmi fiaskó, mind a relokációs művelet is. Nem ez volt az első ilyen eset: már 2021-ben is előfordult, hogy a brit védelmi minisztérium úgy küldött e-mailt 250, korábban velük dolgozó tolmácsnak és más helyi dolgozónak, hogy az e-mailben mindenki számára látható volt az összes címzett e-mail címe és neve. Ezek az információk kérdéseket vetnek fel a minisztérium digitális képességeivel kapcsolatban.
Volt katonák és tisztviselők szerint egyes esetekben az adatvédelem növelését célzó korlátozások véletlenül oda vezethetnek, hogy a tisztviselők kevésbé érzékeny anyagok kezelése során hanyagabbak lesznek. "A Védelmi Minisztérium, mint sok más kormányzati szerv, még nem alkalmazkodott teljes mértékben az információs korszakhoz, és gyakran nehezen tudja, hogyan kell megfelelően kezelni az olyan adatokat, amelyek „érzékenyek”, de nem érik el a „titkos” szintet” - mondta Matthew Savill, aki két évtizedig dolgozott a Védelmi Minisztérium tisztviselőjeként, és jelenleg a Royal United Services Institute-nál (RUSI) a katonai tudományok igazgatója. "A Védelmi Minisztériumban dolgozók nem veszik könnyedén ezt a kérdést, de valódi különbség van abban, ahogyan a 'titkos' és az 'érzékeny' információkat kezelik.”
Számos volt katona - akik nem voltak érintettek az adatszivárgásban - nyilatkozta azt, hogy szerintük a kérdéses e-mailt valószínűleg tévesen sorolták a „hivatalos” kategóriába, amely a három biztonsági besorolás közül a legkevésbé szigorú, és az egyetlen, amely lehetővé teszi a felhasználó számára az internethez való hozzáférést. Az adatbázisban magában nem volt osztályozási jelölés. A hivatalos osztályozás szerint az ilyen információk „kompromittálódásuk esetén legfeljebb közepes kárt okozhatnak”. A másik két osztályozás, a titkos és a szigorúan titkos nem küldhető el az interneten, és hozzáférésükhöz érzékeny információk tárolására szolgáló helyiség (Sensitive Compartmented Information Facility, SCIF) szükséges. Ezekben a helyiségekben tilos a magán telefonok vagy más felvevő eszközök használata.
Miután csütörtökön kiderült, hogy a táblázat az MI6 ügynökeiről és a brit különleges erők tagjairól is tartalmazott információkat, Savill szerint ez valószínűleg megsértette a személyazonosságuk védelmére vonatkozó szabályokat. Több volt katona szerint a katonaságon kívüli más kormányzati szerveknek küldött e-mailek különösen ki voltak téve a téves besorolásnak. „A kormányzati szervek közötti kommunikáció nagyon nehézkes” - mondta az egyikük. Jelen esetben a külügyminisztériummal vagy a belügyminisztériummal osztották meg az információkat - mindkét hivatal részt vett Kabul bukása után az afgánok áttelepítésében.
Sok kormányzati hivatal szinte soha nem használja a SCIF-szobák használatát igénylő titkos vagy szigorúan titkos csatornákat. "A titkos információk kezelése nagyon bosszantó lehet, ha például a SCIF egy másik épületben van” - mondta egy másik volt katona. A védelmi minisztérium rendszereihez való hozzáférést megakadályozó biztonsági intézkedések - például a külső felekkel való linkmegosztás blokkolása - végül saját problémákat okozhatnak, tette hozzá Savill, a RUSI munkatársa. "Ezek a hibák az információk megosztásának módjából is adódnak - pontosan azért, hogy megakadályozzák a védelmi minisztérium hálózataihoz való túlzott külső hozzáférést” - mondta. "Mivel nem lehet linkeket megosztani külső felekkel, az emberek végül csak csatolják a dokumentumot. Ami biztonsági intézkedésnek szánták, valójában problémát okoz."
Elmondása szerint a védelmi szektorban folyamatos erőfeszítések történtek az információkezelés terén, kötelező képzésekkel, de egy kétévente megismételt kattintós teszt nem hoz kulturális változást. A Védelmi Minisztériumnak vannak „szakosodott információkezelői”, akiknek az a feladata, hogy „megakadályozzák az ilyen típusú hibák elkövetését” - tette hozzá. "De a köztisztviselők számának csökkentésére irányuló törekvés miatt ezeket „mindig általános költségnek fogják tekinteni” - tette hozzá.
Mások megkérdőjelezték, hogy a Védelmi Minisztériumban egyedi probléma volt-e az afgán adatok gondos kezelése. Sara de Jong, a Yorki Egyetem professzora, aki jótékonysági szervezetekkel együttműködve afgán tolmácsokat hozott az Egyesült Királyságba. Szerinte úgy tűnik, „strukturális figyelmen kívül hagyás van az adatok gondos kezelése terén”. Hozzátette, hogy amikor a Védelmi Minisztérium titokban akart tartani valamit, „azt sikerült is elérnie”, ellentétben az adatvédelmi incidensben érintett afgán adatok kezelésével.
Mások is kritikusan nyilatkoztak a Védelmi Minisztériumról. Johnny Mercer volt konzervatív képviselő, aki Afganisztánban szolgált, mielőtt államtitkár lett, „elképesztőnek” nevezte, hogy egy afgán állampolgárnak elküldhettek egy táblázatot „a brit államhoz kötődő személyekről”. John Healey védelmi miniszter és Ben Wallace volt védelmi miniszter - aki a kiszivárogtatás idején volt hivatalban - egyaránt bocsánatot kért a történtekért. A kiszivárogtatás mögött álló e-mailt küldő katonát a Védelmi Minisztérium nem nevezte meg, de brit tisztviselők közölték, hogy már nem dolgozik az afganisztáni áttelepítésen. A Védelmi Minisztérium a héten bejelentette, hogy lépéseket tett a kommunikációs biztonság javítása érdekében: új szoftvert vezetett be, adatkezelési képzést indított, és új informatikai vezetőt nevezett ki. "Hivatalba lépése óta ez a kormány nagy hangsúlyt fektetett az adatbiztonság javítására a Védelmi Minisztériumban” - áll a közleményben.
James Heappey, aki a jogsértés idején a fegyveres erők minisztere volt, azt mondta, hogy „gyomorforgató volt rájönni, hogy valaki a hivatalban ilyen szörnyű hibát követett el”, de azt mondta, hogy helytelen egyetlen személyt hibáztatni. "Utólag azt is megtudtam, hogy hihetetlenül elkötelezettek voltak azok iránt, akikkel együtt szolgáltunk Afganisztánban” - mondta. „Kevesen tettek többet azért, hogy a különleges erőink mellett szolgáló emberek kijussanak Afganisztánból.” A pillanatnyi nyomás - az emberek evakuálásának siettetése, amikor a tálibok 2021 augusztusában betörtek Kabulba - szintén szerepet játszhatott a történetben. „Mindenki túlhajszolt volt, és nem sokat aludt” - mondta egy volt katona. Ebben a környezetben könnyű hibázni - mondta egy másik volt katona. Hozzátették, lehetséges, hogy a táblázatot egy hosszú terjesztési listára küldték el e-mailben, amely más kormányzati részlegeket is tartalmazhatott, valamint egy nem biztonságos civil e-mail címre, amelyet senki sem vett észre. "A nap végén mindannyian a Microsoft Stack-et használjuk” - mondta a volt katona, hozzátéve, hogy „olyan könnyű volt egy beavatatlan címzettnek e-mailt küldeni”.
A brit védelmi minisztérium 2022?februárjában egy súlyos adatvédelmi hibát követett el: egy hivatalnok e-mailje nyomán 18?700 afgán neve, elérhetőségi adatai és kapcsolatai kerültek nyilvánosságra a szigetországban dolgozó szakemberekkel. A hiba csak 2023 augusztusában derült ki, amikor a részletek egy Facebook?csoportban megjelentek. A brit kormány ezután különleges, „szuperfokozatú” bírósági végzést (super injunction) kezdeményezett, amely megtiltotta nemcsak az incidens nyilvánosságra hozatalát, hanem magának a tilalomnak a létezését is.
A botrány hatására a konzervatív kormány létrehozott egy titkos relokációs programot, az úgynevezett Afghan Response Route?t (ARR), amely során körülbelül 900 érintett afgán kérelmezőt és mintegy 3?600 családtagot telepítettek át az Egyesült Királyságba. A program költsége 850 millió font volt, és a végzendő feladatokat éveken át titokban tartották, még a parlamentet is kizárták belőle. A titkosítás csak ezen a héten került feloldásra egy bírósági döntés nyomán, ekkor vált nyilvánossá mind az adatvédelmi fiaskó, mind a relokációs művelet is. Nem ez volt az első ilyen eset: már 2021-ben is előfordult, hogy a brit védelmi minisztérium úgy küldött e-mailt 250, korábban velük dolgozó tolmácsnak és más helyi dolgozónak, hogy az e-mailben mindenki számára látható volt az összes címzett e-mail címe és neve. Ezek az információk kérdéseket vetnek fel a minisztérium digitális képességeivel kapcsolatban.
Volt katonák és tisztviselők szerint egyes esetekben az adatvédelem növelését célzó korlátozások véletlenül oda vezethetnek, hogy a tisztviselők kevésbé érzékeny anyagok kezelése során hanyagabbak lesznek. "A Védelmi Minisztérium, mint sok más kormányzati szerv, még nem alkalmazkodott teljes mértékben az információs korszakhoz, és gyakran nehezen tudja, hogyan kell megfelelően kezelni az olyan adatokat, amelyek „érzékenyek”, de nem érik el a „titkos” szintet” - mondta Matthew Savill, aki két évtizedig dolgozott a Védelmi Minisztérium tisztviselőjeként, és jelenleg a Royal United Services Institute-nál (RUSI) a katonai tudományok igazgatója. "A Védelmi Minisztériumban dolgozók nem veszik könnyedén ezt a kérdést, de valódi különbség van abban, ahogyan a 'titkos' és az 'érzékeny' információkat kezelik.”
Számos volt katona - akik nem voltak érintettek az adatszivárgásban - nyilatkozta azt, hogy szerintük a kérdéses e-mailt valószínűleg tévesen sorolták a „hivatalos” kategóriába, amely a három biztonsági besorolás közül a legkevésbé szigorú, és az egyetlen, amely lehetővé teszi a felhasználó számára az internethez való hozzáférést. Az adatbázisban magában nem volt osztályozási jelölés. A hivatalos osztályozás szerint az ilyen információk „kompromittálódásuk esetén legfeljebb közepes kárt okozhatnak”. A másik két osztályozás, a titkos és a szigorúan titkos nem küldhető el az interneten, és hozzáférésükhöz érzékeny információk tárolására szolgáló helyiség (Sensitive Compartmented Information Facility, SCIF) szükséges. Ezekben a helyiségekben tilos a magán telefonok vagy más felvevő eszközök használata.
Miután csütörtökön kiderült, hogy a táblázat az MI6 ügynökeiről és a brit különleges erők tagjairól is tartalmazott információkat, Savill szerint ez valószínűleg megsértette a személyazonosságuk védelmére vonatkozó szabályokat. Több volt katona szerint a katonaságon kívüli más kormányzati szerveknek küldött e-mailek különösen ki voltak téve a téves besorolásnak. „A kormányzati szervek közötti kommunikáció nagyon nehézkes” - mondta az egyikük. Jelen esetben a külügyminisztériummal vagy a belügyminisztériummal osztották meg az információkat - mindkét hivatal részt vett Kabul bukása után az afgánok áttelepítésében.
Sok kormányzati hivatal szinte soha nem használja a SCIF-szobák használatát igénylő titkos vagy szigorúan titkos csatornákat. "A titkos információk kezelése nagyon bosszantó lehet, ha például a SCIF egy másik épületben van” - mondta egy másik volt katona. A védelmi minisztérium rendszereihez való hozzáférést megakadályozó biztonsági intézkedések - például a külső felekkel való linkmegosztás blokkolása - végül saját problémákat okozhatnak, tette hozzá Savill, a RUSI munkatársa. "Ezek a hibák az információk megosztásának módjából is adódnak - pontosan azért, hogy megakadályozzák a védelmi minisztérium hálózataihoz való túlzott külső hozzáférést” - mondta. "Mivel nem lehet linkeket megosztani külső felekkel, az emberek végül csak csatolják a dokumentumot. Ami biztonsági intézkedésnek szánták, valójában problémát okoz."
Elmondása szerint a védelmi szektorban folyamatos erőfeszítések történtek az információkezelés terén, kötelező képzésekkel, de egy kétévente megismételt kattintós teszt nem hoz kulturális változást. A Védelmi Minisztériumnak vannak „szakosodott információkezelői”, akiknek az a feladata, hogy „megakadályozzák az ilyen típusú hibák elkövetését” - tette hozzá. "De a köztisztviselők számának csökkentésére irányuló törekvés miatt ezeket „mindig általános költségnek fogják tekinteni” - tette hozzá.
Mások megkérdőjelezték, hogy a Védelmi Minisztériumban egyedi probléma volt-e az afgán adatok gondos kezelése. Sara de Jong, a Yorki Egyetem professzora, aki jótékonysági szervezetekkel együttműködve afgán tolmácsokat hozott az Egyesült Királyságba. Szerinte úgy tűnik, „strukturális figyelmen kívül hagyás van az adatok gondos kezelése terén”. Hozzátette, hogy amikor a Védelmi Minisztérium titokban akart tartani valamit, „azt sikerült is elérnie”, ellentétben az adatvédelmi incidensben érintett afgán adatok kezelésével.
Mások is kritikusan nyilatkoztak a Védelmi Minisztériumról. Johnny Mercer volt konzervatív képviselő, aki Afganisztánban szolgált, mielőtt államtitkár lett, „elképesztőnek” nevezte, hogy egy afgán állampolgárnak elküldhettek egy táblázatot „a brit államhoz kötődő személyekről”. John Healey védelmi miniszter és Ben Wallace volt védelmi miniszter - aki a kiszivárogtatás idején volt hivatalban - egyaránt bocsánatot kért a történtekért. A kiszivárogtatás mögött álló e-mailt küldő katonát a Védelmi Minisztérium nem nevezte meg, de brit tisztviselők közölték, hogy már nem dolgozik az afganisztáni áttelepítésen. A Védelmi Minisztérium a héten bejelentette, hogy lépéseket tett a kommunikációs biztonság javítása érdekében: új szoftvert vezetett be, adatkezelési képzést indított, és új informatikai vezetőt nevezett ki. "Hivatalba lépése óta ez a kormány nagy hangsúlyt fektetett az adatbiztonság javítására a Védelmi Minisztériumban” - áll a közleményben.
James Heappey, aki a jogsértés idején a fegyveres erők minisztere volt, azt mondta, hogy „gyomorforgató volt rájönni, hogy valaki a hivatalban ilyen szörnyű hibát követett el”, de azt mondta, hogy helytelen egyetlen személyt hibáztatni. "Utólag azt is megtudtam, hogy hihetetlenül elkötelezettek voltak azok iránt, akikkel együtt szolgáltunk Afganisztánban” - mondta. „Kevesen tettek többet azért, hogy a különleges erőink mellett szolgáló emberek kijussanak Afganisztánból.” A pillanatnyi nyomás - az emberek evakuálásának siettetése, amikor a tálibok 2021 augusztusában betörtek Kabulba - szintén szerepet játszhatott a történetben. „Mindenki túlhajszolt volt, és nem sokat aludt” - mondta egy volt katona. Ebben a környezetben könnyű hibázni - mondta egy másik volt katona. Hozzátették, lehetséges, hogy a táblázatot egy hosszú terjesztési listára küldték el e-mailben, amely más kormányzati részlegeket is tartalmazhatott, valamint egy nem biztonságos civil e-mail címre, amelyet senki sem vett észre. "A nap végén mindannyian a Microsoft Stack-et használjuk” - mondta a volt katona, hozzátéve, hogy „olyan könnyű volt egy beavatatlan címzettnek e-mailt küldeni”.