Dwie dekady danych w niepowołanych rękach
Rada Miasta Oksfordu, odpowiedzialna za usługi publiczne w jednym z najbardziej znanych miast Wielkiej Brytanii, poinformowała o poważnym incydencie związanym z naruszeniem bezpieczeństwa danych. Jak przekazały władze miejskie, atakujący uzyskali nieautoryzowany dostęp do wybranych systemów ICT, w tym starszych baz danych, zawierających dane osobowe byłych i obecnych pracowników zaangażowanych w obsługę procesów wyborczych. Dotknięty zbiór obejmuje lata 2001–2022, co oznacza, że dane sprzed ponad dwóch dekad mogły zostać ujawnione. Choć nie wszystkie systemy zostały trwale uszkodzone, incydent spowodował zakłócenia w świadczeniu usług cyfrowych i administracyjnych. Jak zapewnia urząd, większość funkcji przywrócono do działania, jednak niektóre zaległości mogą nadal powodować opóźnienia w obsłudze mieszkańców. W oficjalnym oświadczeniu zamieszczonym na stronie internetowej Rady Miasta Oksfordu podkreślono, że naruszenie dotyczyło wyłącznie systemów zawierających dane osób współpracujących z Radą przy organizacji wyborów – w tym m.in. pracowników lokali wyborczych oraz liczarek głosów. Wstępne ustalenia nie wskazują na to, że dane obywateli zostały naruszone, ani że dane wyciekły dalej do sieci.
Trwa dochodzenie, zagrożenie nie jest wykluczone
Chociaż Rada nie potwierdza, by dane zostały masowo skopiowane lub sprzedane, eksperci nie wykluczają, że wyciek — mimo ograniczonego zakresu — może mieć realne konsekwencje. Dane osobowe gromadzone w kontekście organizacji wyborów mogą zawierać nazwiska, dane kontaktowe, adresy zamieszkania, a nawet informacje o zatrudnieniu i wypłatach — wszystko zależne od stosowanych formularzy i systemów. W przypadku osób, które przez lata współpracowały z Radą przy wyborach, może chodzić o wrażliwy zakres informacji. Incydent został zgłoszony odpowiednim instytucjom — zarówno organom ścigania, jak i rządowym agencjom ds. ochrony danych. Równolegle urząd rozpoczął indywidualne informowanie osób, których dane mogły zostać naruszone. W wiadomościach znajdują się szczegółowe informacje dotyczące charakteru incydentu, rekomendacje w zakresie bezpieczeństwa oraz dane kontaktowe do zespołów wsparcia. Choć urząd podkreśla, że nie ma dowodów na wykorzystanie danych w celach przestępczych, sytuacja pokazuje, jak wrażliwe mogą być starsze systemy IT w administracji publicznej. Wieloletnie przechowywanie informacji w niesprawdzonych lub przestarzałych środowiskach cyfrowych naraża urzędy na ryzyko, które w praktyce bywa ignorowane — do momentu, aż dojdzie do incydentu.
Rada Miasta Oksfordu zapowiada wzmocnienie środków ochrony danych i infrastruktury teleinformatycznej, aby ograniczyć ryzyko podobnych sytuacji w przyszłości. Nie wiadomo jeszcze, ile dokładnie osób zostało dotkniętych naruszeniem, ale według nieoficjalnych szacunków może chodzić o kilkaset, a nawet kilka tysięcy byłych i obecnych współpracowników wyborczych.
