信息专员办公室对哈克尼伦敦市议会进行斥责

图片源于：https://london-post.co.uk/ico-reprimands-london-borough-of-hackney-following-cyber-attack/

信息专员办公室在2020年对哈克尼伦敦市议会进行了斥责，此举是因为在2020年发生了一起网络攻击，导致黑客获得了对44万个文件的访问权限，并对至少28万名居民和其他个人（包括员工）的数据进行了加密。

2020年10月，黑客攻击了哈克尼伦敦市议会（LBoH）的系统，访问、加密并在某些情况下走私了包含个人数据的记录。被加密的数据包括居民的数据，其中包含了他们的种族或种族起源、宗教信仰、性取向、健康数据、经济数据、犯罪数据等其他数据，包括姓名和地址等基本个人识别器。

黑客加密了数据，然后删除了市议会10％的备份数据，直到市议会设法干预为止。这次网络攻击还导致LBoH的系统在许多月内受到干扰，有些服务直到2022年才恢复正常。其中一例与LBoH处理信息自由请求和主体访问请求的能力相关。信息专员办公室收到了39起投诉，这些投诉来自于在2020年8月至10月间向LBoH提出主体访问请求但未收到适当答复的个人。

在对数据泄震的随后调查中，信息专员办公室发现了缺乏适当安全和流程来保护个人数据的例子。LBOH未能确保所有设备都积极应用安全补丁管理系统，并未更改与哈克尼市议会服务器仍连接的休眠帐户上的不安全密码，这被攻击者利用。

信息专员办公室副专员Stephen Bonner表示：“这是哈克尼伦敦市议会的一个明显且可以避免的错误，导致大量数据丢失，并对很多居民造成严重不良影响。最糟糕的是，一些最私密的信息最终落入攻击者手中。人们依赖的系统在很多个月内处于脱机状态。这是完全不可接受的，不应该发生。

“尽管恶意行为者可能始终存在，但市议会未能有效实施足以更好保护其系统和数据免受网络攻击的措施。负责保护个人数据的人不应犯简单错误，比如拥有休眠帐户，其中用户名和密码相同。我们一次又一次看到，如果避免了这样的错误，就不会发生违规守护事件。

“如果我们想让人们对地方议会有信任，他们需要相信地方议会会妥善管理他们的数据。哈克尼居民以艰苦的方式学到了这些错误的后果——全国各地的市议会现在应该采取行动，确保他们负责人不会受到同样的命运。

“市议会在得知攻击发生后迅速并全面采取了缓解攻击危害的行动，包括与NCSC等相关当局的联系，并自此采取了很多积极措施。

“这对哈克尼和全国各地的市议会都有重要的教训——系统必须得到更新；您必须采取预防措施以减少人为错误的风险和潜在影响；您必须确保交托给您的数据受到保护。”

LBoH采取了一系列纠正措施，包括确保通知所有受影响的居民，并对认为面临重大风险的人进行现场通知，迅速与相关当局，如NCSC、NCA和伦敦警察局等联系，改进流程。市议会现已推出一个设计用于提供未来勒索软件攻击抵抗力的新“零信任”模型。

信息专员办公室承认，在发生攻击之前，市议会试图将其补丁管理系统替换为一个新的最先进系统，以减少漏洞。信息专员办公室还赞赏市议会的良好治理结构、政策、改进计划和员工培训和发展，同时也承认新冠疫情对像地方议会等组织的资源所造成的影响。

信息专员办公室最初考虑对市议会处以罚款。然而，由于LBoH采取了积极措施，包括认识到潜在危害并立即采取措施减少这些危害，因此采用了公共部门方法，而不是罚款的方式对英国GDPR的已经建立的违规行为进行斥责。

对市议会关于网络安全的建议：我们的数据显示，地方政府部门报告的网络安全事故数量正在增加，过去一年已报告了150多起网络事件。

信息安全不佳会使系统处于风险之中，可能会造成实质性损害。我们希望全国各地的市议会从这次斥责中学到教训，避免容易受到网络攻击。我们对未能：在未经多重身份验证的情况下保护外部连接

记录和监控系统，以及在出现意外活动时采取措施