انتشار طرح واکنش به نقض دادههای دولتی در بریتانیا
به گزارش کارگروه بین الملل سایبربان، دولت بریتانیا از یک طرحی رونمایی کرد که رویکردی هماهنگ برای واکنش به نقضهای قابل توجه دادههای شخصی در سراسر ادارات دولتی و نهادهای مستقل ایجاد میکند.
این طرح، رفاه، حریم خصوصی، ایمنی و حقوق قانونی افراد آسیبدیده از نقض دادههای شخصی را در اولویت قرار میدهد. همچنین، گزارشدهی مرکزی اجباری را برای کمک به شناسایی نقاط ضعف سیستمی، تجزیه و تحلیل روند حوادث و به اشتراک گذاشتن درسها در سراسر دولت معرفی میکند.
یک نقض ممکن است در صورتی قابل توجه تلقی شود که خطر آسیب جدی به تعداد زیادی از مردم ایجاد کند، افراد آسیبپذیر یا سرشناس را تحت تأثیر قرار دهد، امنیت ملی یا زیرساختهای حیاتی را تهدید کند، چندین سازمان را درگیر کند یا بتواند خسارات مالی، عملیاتی یا اعتباری عمدهای ایجاد کند.
این چارچوب در چهار مرحله پاسخ سازماندهی شده است که با آمادگی قبل از وقوع حادثه آغاز میشود. از سازمانها انتظار میرود برنامههای پاسخ، رویههای شفاف تشدید، ثبت داراییهای اطلاعاتی و مسئولیتهای تعریفشده را حفظ کنند، در عین حال اطمینان حاصل کنند که تأمینکنندگان، نقضهای مشکوک را ظرف ۱۲ تا ۲۴ ساعت گزارش میدهند. ادارات همچنین باید کانالهای ارتباطی جایگزین، الگوهای اعلان و رویههای حفظ شواهد را آماده کنند.
دولت توصیه میکند که برنامههای واکنش، از جمله تمرینهای سالانه، به طور منظم آزمایش شوند تا اطمینان حاصل شود که سازمانها میتوانند به موقع تصمیم بگیرند و مهلت قانونی ۷۲ ساعته گزارشدهی را رعایت کنند.
در طول ۲۴ ساعت اول پس از شناسایی یک نقض قابل توجه، سازمانها باید حادثه را مهار، شدت آن را ارزیابی و آن را به صورت داخلی تشدید کنند. در صورت رعایت آستانه اهمیت، ادارات باید تمهیدات واکنش به بحران را فعال کرده و یک مدیر ارشد حادثه منصوب کنند.
نقضهایی که آستانه قانونی را رعایت میکنند باید ظرف ۷۲ ساعت به دفتر کمیسر اطلاعات گزارش شوند و دولت تأکید میکند که گزارش ناقصی که به موقع ارائه شود، نسبت به گزارش کاملی که دیر ارائه شود، ارجحیت دارد.
ادارات همچنین باید نهادهای دولتی مربوطه، از جمله گروه امنیت دولت، تیم حفاظت از دادههای دولت و در صورت لزوم، مرکز هماهنگی سایبری دولت و مرکز ملی امنیت سایبری را مطلع کنند.
حوادث مهم گزارش شده به دفتر کمیسر اطلاعات بریتانیا (ICO) نیز باید به صورت مرکزی گزارش شوند تا از تجزیه و تحلیل در سطح دولت و گزارش عمومی سالانه پشتیبانی شود.
در مواردی که نقض امنیتی خطر بالایی برای افراد ایجاد میکند، افراد آسیبدیده باید به طور کلی مستقیماً مطلع شوند و به آنها گفته شود که چه اتفاقی افتاده است، عواقب احتمالی و پشتیبانی موجود چیست. این راهنما تأکید میکند که حفاظت از افراد آسیبدیده باید بر محدود کردن آسیبهای اعتباری اولویت داشته باشد و خاطرنشان میکند که سازمانها ممکن است نیاز به ارائه خطوط تلفن، نظارت بر هویت یا پشتیبانی رفاهی داشته باشند.
پس از یک حادثه، سازمانها باید یک بررسی جامع انجام دهند، فهرستهای نقض خود را بهروزرسانی کنند و درسها و پیشرفتهای کاهش آسیب را به صورت فصلی گزارش دهند. هدف این است که اطمینان حاصل شود که یافتهها منجر به اصلاحات عملی میشوند، نه اینکه بدون اقدام بیشتر ثبت شوند.