Données sur les enfants du personnel des forces armées exposés en violation

Les données personnelles de 4 142 enfants et familles de membres actifs des forces armées britanniques ont été exposées l’année dernière lors d’une violation de données au ministère de la Défense (MoD), l’un des sept incidents liés aux données personnelles signalés au Bureau du commissaire à l’information (ICO) au cours de l’année de déclaration 2020-2021.

La violation, qui a été révélée dans le rapport du ministère de la Défense Rapport annuel et comptes 2020-21, liés aux enfants fréquentant les écoles du ministère de la Défense, et se sont produits après qu’une adresse électronique associée aux écoles du ministère de la Défense a été compromise pendant une période de 72 heures en février 2021.

Les écoles du ministère de la Défense offrent une éducation aux enfants du personnel militaire et des civils, entrepreneurs et payeurs de droits du ministère de la Défense en poste à l’étranger. Les installations sont principalement axées sur la petite enfance et l’enseignement primaire et sont situées sur des bases militaires en Belgique, au Brunei, à Chypre, aux îles Falkland, en Allemagne, à Gibraltar, en Italie et aux Pays-Bas.

Le service fournit également un soutien éducatif et des conseils aux enfants des militaires qui fréquentent les écoles locales dans les États alliés qui n’accueillent pas eux-mêmes de bases britanniques – comme l’Australie, le Canada et les États-Unis – et maintient le pensionnat Queen Victoria à Dunblane en Écosse.

Le ministère de la Défense n’a pas révélé dans son rapport à quelles écoles l’incident était lié, ni aucun autre détail de la violation, tels que la façon dont elle s’est produite, qui a pu accéder aux données et si quelqu’un l’a réellement fait. Computer Weekly a contacté le ministère de la Défense pour obtenir d’autres commentaires, mais le ministère n’avait pas répondu au moment de la publication.

Parmi les autres incidents à signaler, citons une violation en mai 2020 dans laquelle l’identité et les adresses domiciliaires de 147 membres du personnel du ministère de la Défense ont été accidentellement envoyées par courrier électronique à des organisations externes, y compris des journalistes; un incident qui a vu des détails et des images d’une personne blessée tirés d’un journal de bord des incidents publiés sur les médias sociaux; un incident au cours duquel des documents judiciaires ont été expurgés de manière incorrecte, exposant les données de cinq personnes impliquées dans une affaire judiciaire; lors d’un autre incident judiciaire, une copie non expurgée des allégations criminelles a été transmise de façon incorrecte à l’accusé, révélant l’identité de la victime et les déclarations des témoins.

L’ICO a également été informée d’incidents, y compris l’affichage d’informations sur les cadets et les bénévoles adultes affichées dans un groupe de médias sociaux fermé, et l’affichage accidentel de la question d’un membre du public à leur député sur le site Web de la Chambre des communes.

Les violations non déclarables comprenaient 27 cas où des dispositifs ou des documents du ministère de la Défense insuffisamment protégés ont été perdus dans les locaux du gouvernement, sept cas où ils ont été perdus à l’extérieur des locaux du gouvernement, deux éliminations non sécurisées de documents insuffisamment protégés, 479 incidents de divulgation de données non autorisée et 37 classés comme « autres ».

Au total, le ministère de la Défense a signalé 552 incidents non déclarables, contre 546 au cours de l’exercice se terminant le 31 mars 2020.

Donal Blaney, fondateur du cabinet de cyber-ligitation Griffin Law, a appelé l’ICO à mener une enquête approfondie. « Nos courageux soldats, marins et membres de l’armée de l’air sont prêts à sacrifier leur vie – travaillant souvent sous couverture et dans des conditions extrêmes – afin que nous puissions vivre en sécurité et en liberté », a-t-il déclaré.

« Le moins que le ministère de la Défense puisse faire est de garder les données personnelles de ces héros courageux en sécurité. Au lieu de cela, leur identité, et potentiellement la sécurité de leurs familles et de leurs amis, ont été mises en danger par les pousseurs de stylos.

Tim Sadler, cofondateur et PDG de Tessian, a ajouté : « Les gens traitent plus de données que jamais auparavant, et cela s’accompagne de l’inévitabilité de l’erreur humaine. Des erreurs se produisent et, malheureusement, elles peuvent entraîner des incidents graves qui compromettent la sécurité et la confidentialité des données. Par exemple, les e-mails envoyés à la mauvaise personne continuent d’être l’une des principales causes de violations de données aujourd’hui.

« Les organisations doivent donc mettre en place des mesures de sécurité pour prévenir les erreurs des personnes avant qu’elles ne se transforment en violations de données, et elles doivent trouver des moyens de soutenir le personnel qui a accès à de grandes quantités de données précieuses ou sensibles afin de réduire le risque de violations de la réglementation.

« Il est essentiel que les employés reçoivent la formation dont ils ont besoin pour prendre les bonnes décisions en matière de cybersécurité et que les équipes de sécurité aient une plus grande visibilité pour réagir rapidement aux incidents au fur et à mesure qu’ils se produisent », a-t-il déclaré.