El Ministerio de Defensa del Reino Unido está en el centro de crecientes críticas después de poner potencialmente en riesgo la vida de ciudadanos afganos en una violación de datos de correo electrónico, el segundo incidente de este tipo que surge en el espacio de una semana.
El último incidente vio las direcciones de correo electrónico y los nombres de 55 personas, al menos uno de ellos un ex miembro del Ejército Nacional Afgano, copiados por error en un correo electrónico con sus datos visibles para todos los demás destinatarios. El correo electrónico se originó en el equipo de Política de asistencia y reubicación afgana (Arap).
A principios de esta semana, Arap expuso datos sobre más de 250 intérpretes afganos que, al igual que los destinatarios del último error por correo electrónico, esperaban ser trasladados al Reino Unido; su seguridad personal estaba en peligro por las represalias de los talibanes si permanecían en Afganistán.
El secretario de Defensa, Ben Wallace, anunció una investigación sobre el primer incidente en los Comunes el martes y, según la BBC, supuestamente no había tenido conocimiento de la segunda violación en ese momento.
El Ministerio de Defensa se disculpó por la segunda filtración y dijo que se estaba ofreciendo apoyo adicional a las 55 nuevas víctimas. En un comunicado, un portavoz departamental dijo que se habían tomado medidas “para asegurar que esto no suceda en el futuro”.
Computer Weekly se comunicó con el Ministerio de Defensa para establecer más datos sobre los incidentes, pero no había recibido una respuesta al momento de escribir este artículo. Esta historia se actualizará si se dispone de más información.
Kingsley Hayes, jefe de violación de datos del bufete de abogados Keller Lenkner, comentó: “El Ministerio de Defensa ha iniciado una investigación sobre las fallas en la privacidad de los datos y, según se informa, ha tomado medidas ‘para garantizar que esto no suceda en el futuro’. Pero con dos violaciones graves de datos que ocurren en unos días, y otra violación que ocurrió hace solo unos meses cuando un miembro del público descubrió documentos confidenciales en una parada de autobús, se deben hacer preguntas serias sobre cómo se permite que ocurran tales violaciones.
“Además, si bien la prioridad inmediata debe ser garantizar la seguridad de quienes se encuentran en riesgo por los procesos de correo electrónico fortuitos del Ministerio de Defensa, los responsables deben rendir cuentas en última instancia. Se han puesto en peligro vidas y esto es simplemente imperdonable “.
Andreas Theodorou de ProPrivacy condenó un “patrón confirmado de incompetencia” y dijo que si bien el error humano era comprensible, ahora había pruebas claras de que los trabajadores clave del Ministerio de Defensa no estaban siguiendo las mejores prácticas de seguridad básicas.
“La gente sufrirá como resultado de esto, y no solo los miembros de alto perfil del ejército afgano que han sido denunciados por los fracasos de una retirada apresurada. Una vez más, el Ministerio de Defensa les ha dado a los talibanes la oportunidad de lanzar ataques físicos y digitales contra nosotros mismos y nuestros aliados, y todo debido a una percepción de falta de alfabetización digital ”, dijo.
“Es evidente que se necesita un sistema de verificación antes de enviar comunicaciones masivas a destinatarios vulnerables en tierras hostiles, donde cualquier información filtrada puede usarse contra nuestros aliados y contra nosotros mismos”.
Wouter Klinkhamer, director ejecutivo de Zivver, una empresa holandesa especializada en seguridad de correo electrónico saliente, describió la última brecha como una clara demostración de lo que podría salir mal cuando las comunicaciones por correo electrónico no se protegen correctamente, y aunque el Ministerio de Defensa presentó un ejemplo extremo, hubo lecciones para todo tipo de organizaciones.
“Todos los líderes empresariales deben sentarse y revisar cómo se comparte la información confidencial y qué apoyo tiene su fuerza laboral para comunicarse de forma segura”, dijo Klinkhamer. “Es común que incidentes como este sean el resultado de un error humano [verified by the UK’s ICO] – un empleado selecciona inadvertidamente ‘Cc’ en lugar de ‘Cco’ antes de enviar el correo electrónico.
“Sin embargo, todos somos humanos, todos cometemos errores. Las organizaciones deben enfocarse en cómo pueden empoderar a sus individuos para que puedan compartir información de manera segura cuando lo necesiten, con confianza y con facilidad, para evitar una situación potencialmente dañina “.
