ICO gennemgår sin tilgang til bøder fra den offentlige sektor: Hvad skal den beslutte?

Bøderne for databrud stiger. Ifølge ISMS.online Status for informationssikkerhedsrapport 2024, det gennemsnitlige bødebeløb svarende virksomheder rapporteret sidste år steg næsten 4% årligt til £258,000. Alligevel tager denne undersøgelse kun hensyn til finans-, sundheds-, fremstillings-, detail- og teknologisektorerne. I den offentlige sektor har databeskyttelsesmyndigheden, Information Commissioner's Office (ICO) afprøvet en lettere tilgang til bøder i to år.  

En afgørelse om, hvorvidt der skal fortsættes eller strengere håndhævelsen, afventer efteråret. Beviserne tyder på, at en genovervejelse er nødvendig. 

To år med at trække slag

En analyse af ICO-bøder ved URM Rådgivning fremhæver den markante forskel i reguleringstilgangen mellem den offentlige og den private sektor. Af 29 irettesættelser, der blev udstedt til organisationer sidste år, blev 20 rettet mod det offentlige. Alle 17 blev dog udstedt mod private virksomheder, når det gjaldt bøder.  

Blandt de mest bemærkelsesværdige eksempler på, at ICO har trukket sine slag med bøder fra den offentlige sektor i de seneste to år, er: 

• The Police Service of Northern Ireland (PSNI), som ved et uheld lækkede følsomme oplysninger om betjente i, hvad der er blevet beskrevet som et af de værste brud af sin art i betragtning af følsomheden omkring politistyrken. Alligevel, selvom livet for tjenende officerer og deres familier uden tvivl var sat i fare, en mulig bøde på £5.6 mio. blev reduceret til £750,000 

• Tavistock og Portman NHS Foundation Trust, som ved et uheld afslørede e-mail-adresserne på 1,781 Gender Identity Clinic-patienter, hvoraf nogle blev offentligt identificeret. En ville være bøde blev skåret 900%+ til kun £ 78,400 

• kabinetskontoret, som udsatte navne og uredigerede adresser på mere end 1,000 personer, der blev annonceret på New Year Honours-listen, inklusive forskellige berømtheder. En bøde på 500,000 pund blev reduceret til 50,000 pund  

• Forsvarsministeriet (MoD), som via e-mail lækkede meget følsomme oplysninger om personer, der søger omplacering til Storbritannien, efter at Taleban tog kontrol over Afghanistan. En bøde på £1 mio blev skåret ned til £350,000  

• NHS Highland, som sendte e-mail til 37 personer, der sandsynligvis ville få adgang til hiv-tjenester, og delte deres oplysninger med hinanden. En bøde på 35,000 pund blev reduceret til en ren reprimande.  

• Valgkommissionen, som tillod hackere at få adgang til oplysninger om 40 millioner borgere efter en række grundlæggende sikkerhedsfejl. Det blev slet ikke bøde, men simpelthen fik en irettesættelse.  

Hvorfor går ICO nemt?

Sidste år blev flere britiske virksomheder idømt bøder mellem £250-500K (26% mod 21% i 2022) og mellem £100K-250K (35% mod 18%) end i de foregående 12 måneder, ifølge ISMS.online-data. Alligevel slap den offentlige sektor. Det er på trods af forværrede databrudsstatistikker i regeringen. Ifølge ICOs egne data, analyseret af advokatfirmaet Mishon de Reya, var der en svimlende 8000 % stigning i antallet af personer, der blev påvirket af databrud i centralregeringen mellem 2019 og 2023. Utroligt nok var der 195 millioner personer, der var berørt af brud i forbindelse med "økonomiske eller finansielle data" alene i 2023, næsten tre gange befolkningen i Storbritannien. 

Så hvorfor ændringen i ICO-politikken? For informationskommissær John Edwards bunder det i, at bøder sandsynligvis vil ændre den private sektors adfærd lettere end i den offentlige sektor. Og det faktum, at statsfinanserne allerede er strakt faretruende tyndt. 

»Jeg er ikke overbevist om, at store bøder i sig selv er lige så effektive afskrækkende i den offentlige sektor. De påvirker ikke aktionærer eller individuelle direktører på samme måde, som de gør i den private sektor, men kommer direkte fra budgettet for levering af tjenesteydelser." skrev han i juni 2022. 

"Konsekvensen af ​​en bøde fra den offentlige sektor bliver også ofte besøgt over for ofrene for bruddet i form af reducerede budgetter til vitale tjenester, ikke gerningsmændene. Faktisk bliver personer, der er berørt af et brud, straffet to gange." 

Alligevel er logikken om bøder som afskrækkende en smule ulden. ISMS.online-undersøgelser viser, at kun en femtedel (19 %) af svarede virksomheder siger, at deres primære motivation for overholdelse er at undgå sanktioner. Langt flere taler om at forblive konkurrencedygtig (34 %), øge kundeefterspørgslen (34 %) og beskytte forretnings- (30 %) og kundeoplysninger (29 %). Ingen af ​​disse andre motiverende faktorer er særligt relevante for den offentlige sektor, hvilket efterlader bøder som en af ​​de få løftestænger til rådighed for ICO. 

Det, der forværrer forvirringen, er, at der kommer blandede beskeder inde fra selve ICO'en. John Edwards var først for nylig rapporteret som at sige, at hans politik med ikke at bøde den offentlige sektor, men i stedet udsende uforpligtende irettesættelser, var "meget effektiv, især i den offentlige sektor, hvor omdømme er mere værd end pengepungen". Det har han dog siden indrømmet at der er begrænset dokumentation tilgængelig, selv for at vurdere virkningen af ​​monetære sanktioner på sektoren. 

"Jeg ville forvente, at den kommende gennemgang vil have nogle data og andre beviser, for eksempel i betragtning af, om ICO har set nogen beviser for en forbedring i overholdelse i den offentlige sektor som et resultat af den offentlige sektors tilgang," Mishcon de Reya seniordata beskyttelsesspecialist, Jon Baines, fortæller til ISMS.online.  

»Anekdotisk vil jeg sige, at vi i stedet har set fattigere overholdelse. Jeg er fortsat ikke overbevist om, at der er grundlag for at behandle den offentlige sektor anderledes end nogen anden sektor. Jeg frygter, at "den offentlige sektors tilgang" har den effekt, at den begrænser ICO's skøn til at træffe effektive, forholdsmæssige og afskrækkende handlinger." 

Plads til forbedring

Så hvad sker der så? Baines forklarer, at før GDPR plejede ICO at kræve, at en dataansvarlig underskriver et "tilsagn" om at foretage forbedringer - hvis deres organisation blev fundet mangelfuld, men en bøde eller håndhævelseshandling ikke var berettiget. 

"Jeg kan ikke se nogen grund til, at ICO ikke kunne genoptage denne tilgang i passende tilfælde: det ville have den effekt, at det pålægger seniorledere forpligtelser til at sikre, at deres løfte bliver holdt. Efter min erfaring var disse 'foretagender' meget effektive til at koncentrere de øverste lederes sind om vigtigheden af ​​overholdelse af databeskyttelse,” tilføjer han.  

”Jeg vil også foreslå, at regeringen overvejer, om den kunne ønske at give ICO formelle beføjelser gennem lovgivning til at søge sådanne virksomheder, med mulighed for sanktioner mod enkeltpersoner – såvel som organisationer – hvis forpligtelserne brydes. Jeg tror, ​​at det så ville have en række beføjelser til rådighed, som hver for sig eller i kombination kunne være effektive." 

Midt i denne forvirring er den bedste måde for organisationer i den offentlige sektor at tage kontrol over deres skæbne på at proaktivt mindske risikoen for brud. ICO har hjælpsomt fremhævet de ting, som både offentlige og private virksomheder bør gøre i denne henseende. Det har tidligere truffet foranstaltninger mod organisationer, der har undladt at: 

• Implementer multi-factor authentication (MFA) på eksterne forbindelser. 

• Log og overvåg systemer og handle, når der er uventet udsivning af data eller RDP-forbindelser 

• Ret efter endpoint-advarsler som dem, der produceres af anti-malware-værktøjer 

• Brug stærke og unikke adgangskoder på interne konti – især privilegerede konti. 

• Patch kendte sårbarheder.