2023年8月，北愛(ài)爾蘭警務(wù)處（PSNI）遭遇了一場(chǎng)數(shù)據(jù)泄露事件，導(dǎo)致9483名警官和文職人員的個(gè)人數(shù)據(jù)被曝光。這也是英國(guó)警方歷史上最嚴(yán)重的數(shù)據(jù)泄露事件，究其原因是警方網(wǎng)絡(luò)安全缺失，以及對(duì)數(shù)據(jù)保護(hù)的不重視（light touch approach）。12月11日，NPCC完成調(diào)查報(bào)告，并向PSNI和NIPB提交，對(duì)于此次數(shù)據(jù)泄露事件進(jìn)行全面復(fù)盤，以發(fā)現(xiàn)英國(guó)警方內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)的不足，吸取經(jīng)驗(yàn)教訓(xùn)。

數(shù)據(jù)泄露事件回顧

北愛(ài)爾蘭警察局 (PSNI) 響應(yīng)信息自由 (FOI) 請(qǐng)求，旨在確定 PSNI 官員的人數(shù)，但卻不慎將一個(gè)Excel電子表格進(jìn)行了共享，該表格里包含了PSNI所有在職員工的敏感信息，包括姓名、職級(jí)，以及他們工作的位置和部門。

信息自由請(qǐng)求是個(gè)人或組織向政府機(jī)構(gòu)或公共機(jī)構(gòu)提出的正式詢問(wèn)，以獲得該實(shí)體持有的記錄、文件或信息的訪問(wèn)權(quán)限。信息自由請(qǐng)求的目的是通過(guò)允許公民請(qǐng)求和獲取有關(guān)政府機(jī)構(gòu)的運(yùn)作、決策和活動(dòng)的信息來(lái)促進(jìn)透明度、問(wèn)責(zé)制和開(kāi)放政府。

美國(guó)有線電視新聞網(wǎng) (CNN) 報(bào)道稱，警員信息暴露給他們帶來(lái)了巨大的安全風(fēng)險(xiǎn)，甚至還包括人身風(fēng)險(xiǎn)。由于英國(guó)在該地區(qū)統(tǒng)治存在爭(zhēng)議，導(dǎo)致警方人員經(jīng)常成為攻擊目標(biāo)。

為此，北愛(ài)爾蘭警務(wù)處和北愛(ài)爾蘭警務(wù)委員會(huì)（NIPB）要求對(duì)該泄露事件進(jìn)行獨(dú)立審查。由全國(guó)警察首席委員會(huì)（NPCC）信息安全負(fù)責(zé)人以及倫敦市警察局局長(zhǎng)Pete O’Doherty領(lǐng)導(dǎo)的審查團(tuán)隊(duì)，于2023年12月11日向PSNI和NIPB提交了他們的調(diào)查報(bào)告。

報(bào)告指出，該事件是由一個(gè)簡(jiǎn)單的人為錯(cuò)誤造成，包含官員和員工敏感信息的透視表隱藏在電子表格中，并且FOI在公布之前也沒(méi)有發(fā)現(xiàn)。

安全防護(hù)的疏漏之處在哪里？

同時(shí)報(bào)告強(qiáng)調(diào)，該泄露事件雖然看起來(lái)簡(jiǎn)單，但卻并非由任何個(gè)人、團(tuán)隊(duì)或部門的“單一孤立決策、行為或事件”所導(dǎo)致，相反，這是多種因素的后果。

因此，“人為錯(cuò)誤”不過(guò)是表面原因，其根本原因在于，PSNI沒(méi)有做好相關(guān)的網(wǎng)絡(luò)安全防護(hù)，沒(méi)有更好、更主動(dòng)地保障數(shù)據(jù)安全，沒(méi)有較早地識(shí)別和預(yù)防風(fēng)險(xiǎn)，缺乏符合當(dāng)下實(shí)際情況的更敏捷、現(xiàn)代化的數(shù)據(jù)保護(hù)方式。

審查報(bào)告進(jìn)一步指出，PSNI對(duì)數(shù)據(jù)保護(hù)和安全采取了“l(fā)ight touch approach”，即在這方面缺乏相應(yīng)的安全策略。且2018年頒布實(shí)施的《數(shù)據(jù)保護(hù)法》（DPA）并未完全落實(shí)，實(shí)施過(guò)程可能存在“過(guò)于樂(lè)觀”或“夸大其詞”的地方。

“關(guān)于數(shù)據(jù)保護(hù)影響評(píng)估（DPIAs）的義務(wù)沒(méi)有實(shí)現(xiàn)，但在記錄中卻被標(biāo)記為‘綠色’（通過(guò)），事實(shí)上未被通過(guò)的信息共享要求標(biāo)記為‘琥珀色’。數(shù)據(jù)泄露事件的報(bào)告沒(méi)有進(jìn)行分類分級(jí)，如果存在官方敏感（以及更高）標(biāo)記，可能會(huì)促使PSNI以不同的方式處理信息，從而避免數(shù)據(jù)泄露?！?/p>

最后，審查報(bào)告還認(rèn)為，PSNI在安全建設(shè)中還“沒(méi)有認(rèn)識(shí)到數(shù)據(jù)保護(hù)官（DPO）角色的重要性，DPO沒(méi)有直接向組織最高層報(bào)告的機(jī)制，這已經(jīng)違背了法律的要求?！?/p>

敲響英國(guó)警方的安全警鐘

在審查報(bào)告的前言部分中，Pete O’Doherty表示這一事件“對(duì)于英國(guó)各個(gè)地方的警隊(duì)是一個(gè)安全警鐘”，提醒他們要認(rèn)真對(duì)待警方數(shù)據(jù)安全和信息保護(hù)。他進(jìn)一步表示，審查報(bào)告中的很多內(nèi)容不止針對(duì)PSNI，同樣適用于英國(guó)其他地方的警隊(duì)。由于此次數(shù)據(jù)泄露事件，根據(jù)已經(jīng)收集到的信息，對(duì)PSNI的官員和員工產(chǎn)生了威脅。

這期數(shù)據(jù)泄露事件最終導(dǎo)致PSNI首席警司西蒙·伯恩在一個(gè)月內(nèi)離職，此外還有超過(guò)50人因病缺勤。截止到目前，已經(jīng)有超過(guò)4k名PSNI的員工（包括警官和平民員工）正在對(duì)警局采取法律行動(dòng)。這些訴訟可能會(huì)使PSNI產(chǎn)生2400萬(wàn)英鎊到3700萬(wàn)英鎊（按當(dāng)下匯率，約為2.16億-3.33億人民幣）的額外費(fèi)用。

在一次新聞發(fā)布會(huì)上，PSNI新任警察局長(zhǎng)喬恩·布徹表示這是一份“艱難地閱讀”的報(bào)告，強(qiáng)調(diào)將“充分接受并吸取其中的教訓(xùn)”。正如審查報(bào)告所建議的那樣，PSNI已經(jīng)成立數(shù)據(jù)委員會(huì)。

PSNI 八大安全建議

NPCC的審查報(bào)告中概述了37項(xiàng)建議，其中涉及一些不便公開(kāi)的，這里分享8條可公開(kāi)的建議：

• 記錄網(wǎng)絡(luò)和數(shù)據(jù)價(jià)值最大化及合規(guī)性相關(guān)的戰(zhàn)略風(fēng)險(xiǎn)，包括其在創(chuàng)新技術(shù)中的應(yīng)用；
• 確保定期對(duì)數(shù)據(jù)功能進(jìn)行審計(jì)，考慮與其他警務(wù)或公共部門的專家合作；
• 將高級(jí)信息風(fēng)險(xiǎn)所有者（SIRO）的職位定為副總警監(jiān)一級(jí)。SIRO還應(yīng)建立一個(gè)警力級(jí)別的數(shù)據(jù)委員會(huì)，包括明確的職責(zé)范圍和信息資產(chǎn)所有者（IAOs），數(shù)據(jù)業(yè)務(wù)領(lǐng)域負(fù)責(zé)人、數(shù)字化和組織變革等其他業(yè)務(wù)領(lǐng)域的負(fù)責(zé)人出席；
• 考慮引入一個(gè)類似于首席數(shù)據(jù)官的專家角色，監(jiān)督和協(xié)調(diào)數(shù)據(jù)功能；
• 仔細(xì)審查DPO的角色，考慮法定要求、匯報(bào)線、足夠的資源、問(wèn)責(zé)功能和風(fēng)險(xiǎn)管理；
• 將信息自由（FOI）流程記錄在一個(gè)標(biāo)準(zhǔn)操作程序中，簡(jiǎn)化并去除所有相關(guān)文檔的重復(fù)操作；
• 緊急進(jìn)行數(shù)據(jù)成熟度評(píng)估，以了解組織當(dāng)下的情況，并制定新的工作計(jì)劃，持續(xù)改進(jìn)和協(xié)調(diào)現(xiàn)有服務(wù)，建立包括數(shù)據(jù)治理和數(shù)據(jù)倫理在內(nèi)的新能力；
• 考慮開(kāi)展包括高層參與的組織安全意識(shí)提升活動(dòng)，包括解釋信息自由的價(jià)值，信息安全和管理是每個(gè)人的工作，以及值班和非值班時(shí)的重要性。

網(wǎng)安大咖觀點(diǎn)

縱觀PSNI數(shù)據(jù)泄露事件，表面上看不過(guò)是員工的一次誤操作，卻產(chǎn)生了難以忍受的巨大損失。但隨著調(diào)查的深入，發(fā)現(xiàn)了英國(guó)警方存在的各類安全問(wèn)題。

他山之石可以攻玉，在企業(yè)安全建設(shè)中是否同樣存在類似的問(wèn)題，值得安全人深思。

張洪洋——西門子中國(guó)網(wǎng)絡(luò)安全審計(jì)師

作為在安全戰(zhàn)場(chǎng)上摸爬滾打多年的諸位都明白，在整個(gè)安全鏈條中最薄弱的一環(huán)就是人本身。因此，如何建立有效的機(jī)制和技術(shù)手段，從根上減少信息泄露的風(fēng)險(xiǎn)才是安全從業(yè)者所需要追求的。在本次泄漏事件中，由于未進(jìn)行有效的數(shù)據(jù)分類分級(jí)，導(dǎo)致PSNI獲取信息披露所需數(shù)據(jù)的時(shí)候，并不知曉該文檔所包含數(shù)據(jù)的敏感性，進(jìn)而未能夠引起警覺(jué)。并且，獲取如此敏感的數(shù)據(jù)之前，也未有任何審批、審核機(jī)制，其權(quán)限配置也讓人詬病。因此，所謂“人為失誤”不過(guò)是一系列安全防護(hù)手段缺失導(dǎo)致的一種必然結(jié)果罷了。

趙銳——某跨國(guó)企業(yè)首席安全官

對(duì)任何組織和個(gè)人來(lái)說(shuō)數(shù)據(jù)泄漏事件都是一場(chǎng)災(zāi)難，可能會(huì)造成嚴(yán)重的財(cái)務(wù)損失、聲譽(yù)損失、信任破裂、司法訴訟以及監(jiān)管處罰等責(zé)任。

對(duì)于組織和個(gè)人來(lái)說(shuō)，要做好應(yīng)對(duì)數(shù)據(jù)泄漏事件的準(zhǔn)備，并盡力降低數(shù)據(jù)泄漏事件的可能性和事件造成損失。

• 清楚了解并遵守相關(guān)法律法規(guī)：組織應(yīng)根據(jù)業(yè)務(wù)所在國(guó)的數(shù)據(jù)保護(hù)法律法規(guī)和標(biāo)準(zhǔn)，妥善管理數(shù)據(jù)并保護(hù)個(gè)人信息。對(duì)于個(gè)人來(lái)說(shuō)，要加強(qiáng)個(gè)人信息的保護(hù)意識(shí)，謹(jǐn)慎處理和分享個(gè)人敏感信息。
• 建立數(shù)據(jù)安全保護(hù)團(tuán)隊(duì)并給予相應(yīng)的資源：組織應(yīng)建立從高級(jí)管理層直至基層業(yè)務(wù)運(yùn)營(yíng)的上下一體的數(shù)據(jù)安全保護(hù)團(tuán)隊(duì)。明確數(shù)據(jù)負(fù)責(zé)人，和不同業(yè)務(wù)流程中的數(shù)據(jù)安全保護(hù)負(fù)責(zé)，并提供必要的資源，以便于開(kāi)展各級(jí)數(shù)據(jù)安全保護(hù)工作。
• 加強(qiáng)數(shù)據(jù)保護(hù)措施：組織應(yīng)基于開(kāi)展的業(yè)務(wù)、對(duì)應(yīng)的監(jiān)管要求和內(nèi)外部威脅，制定并實(shí)施嚴(yán)格的數(shù)據(jù)保護(hù)政策，包括：加密敏感數(shù)據(jù)、限制數(shù)據(jù)訪問(wèn)權(quán)限、定期備份數(shù)據(jù)、隱私政策等。同時(shí)，完善數(shù)據(jù)相關(guān)的業(yè)務(wù)流程，更新和升級(jí)網(wǎng)絡(luò)安全設(shè)備和軟件，以確保系統(tǒng)能夠抵御最新的網(wǎng)絡(luò)攻擊。
• 持續(xù)監(jiān)測(cè)和檢測(cè)：采用合適并不斷更新的安全事件和威脅情報(bào)監(jiān)測(cè)技術(shù)，及時(shí)發(fā)現(xiàn)和阻止?jié)撛诘墓?。定期進(jìn)行開(kāi)展漏洞掃描、滲透測(cè)試等安全評(píng)估，及早發(fā)現(xiàn)并修補(bǔ)系統(tǒng)漏洞。
• 做好人員教育和培訓(xùn)：人是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，通過(guò)培訓(xùn)員工識(shí)別、降低、避免釣魚(yú)、惡意軟件、主動(dòng)漏洞等網(wǎng)絡(luò)攻擊，可以大大降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。
• 及時(shí)發(fā)現(xiàn)和響應(yīng)：應(yīng)建立緊急響應(yīng)計(jì)劃，以應(yīng)對(duì)數(shù)據(jù)泄漏事件。發(fā)現(xiàn)數(shù)據(jù)泄漏后，立即采取行動(dòng)，中斷數(shù)據(jù)流失，修復(fù)和恢復(fù)損壞的系統(tǒng)。同時(shí)，在事件調(diào)查過(guò)程中與執(zhí)法機(jī)構(gòu)和相關(guān)利益相關(guān)者進(jìn)行合作。
• 及時(shí)通知和溝通：當(dāng)數(shù)據(jù)泄漏事件發(fā)生時(shí)，及時(shí)通知相關(guān)當(dāng)事人，并提供必要的信息和支持。與利益相關(guān)的組織和個(gè)人建立積極的溝通渠道，向他們提供準(zhǔn)確的情況說(shuō)明和解決方案。
• 購(gòu)買保險(xiǎn)：可以考慮購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)，以減輕數(shù)據(jù)泄漏事件帶來(lái)的財(cái)務(wù)損失，并為組織提供司法、事件調(diào)查和業(yè)務(wù)恢復(fù)等方面的費(fèi)用支持。