El Ministerio de Justicia (MoJ) del Reino Unido informó un total de 16 violaciones de datos y otros incidentes de seguridad cibernética a la Oficina del Comisionado de Información (ICO) durante el año fiscal 2020-21 (12 meses hasta el 31 de marzo de 2021), incluidos dos ataques de ransomware contra terceros. partes en las que los datos del departamento pueden haber sido comprometidos.
Los dos incidentes de ransomware fueron el ataque de octubre de 2020 contra el ayuntamiento de Hackney, que según el Ministerio de Justicia podría haber afectado los datos que había compartido con el consejo, y contra Ubiqus, un proveedor de servicios de transcripción y grabaciones judiciales acreditado por el Ministerio de Justicia, que fue atacado en diciembre. 2020.
El ICO todavía está investigando el incidente de Hackney, y su investigación sobre el ataque a Ubiqus concluyó sin que se tomaran más medidas. Según el informe anual y las cuentas del Ministerio de Justicia, publicado el 16 de diciembre de 2021, ambos casos afectaron los datos de un número desconocido de personas.
Donal Blaney, fundador de la práctica de litigios de nicho Griffin Law, que analizó los datos del Ministerio de Justicia, dijo que la cantidad de incidentes era una preocupación dada la naturaleza del trabajo del departamento.
“Para que el estado de derecho signifique algo, los tribunales deben estar adecuadamente financiados, con el personal adecuado y administrados de manera competente”, dijo. “Si el Ministerio de Justicia y el HMCTS [HM Courts and Tribunals Service] no pueden poner sus propias casas en orden, ¿qué fe podemos tener como sociedad en que nuestro sistema de justicia no está funcionando de una manera igualmente inepta?
Edward Blake, vicepresidente de área de EMEA para Absolute Software, dijo que el aumento en la sofisticación y la cantidad de ataques de ransomware en los últimos dos años significaba que, incluso si no se veían afectadas directamente, las organizaciones debían ser conscientes de que sus datos aún estaban en riesgo por incidencias en terceros.
“Todas las organizaciones se han visto y seguirán viéndose afectadas por esta creciente tendencia de amenazas”, dijo. “Como resultado, ya no es seguro asumir que los malos actores aún no han asegurado los medios para violar el sistema de una empresa.
“Por lo tanto, implementar protocolos de confianza cero para evitar que partes maliciosas se muevan lateralmente a través de la red de una empresa es una precaución vital que las organizaciones deben tomar para protegerse contra esta amenaza cibernética elevada”.
Entre algunos de los otros incidentes informados por el Ministerio de Justicia se encuentran un error en una instalación de escaneo masivo de terceros, lo que provocó que la información del tribunal se atribuyera erróneamente, y una serie de casos en los que los nombres y direcciones confidenciales de las víctimas de delitos y abuso doméstico. se compartieron indebidamente, lo que generó preocupaciones de salvaguardia.
El Ministerio de Justicia también fue víctima de incidentes de errores de usuarios: en un caso, la transmisión de audio de una plataforma de video en la nube relacionada con una audiencia de orden de atención provisional se transmitió accidentalmente en vivo a Facebook, y se descubrió que un miembro del personal accedió y tomó capturas de pantalla de un sistema informático de la prisión, revelando datos confidenciales de 72 delincuentes.
En otro caso, el estado de vacunación contra la COVID-19 de 25 miembros del personal del servicio penitenciario se puso en riesgo después de que asaltaron el automóvil de un miembro del personal de un proveedor externo de salud ocupacional.
El incidente más impactante afectó a 5231 personas y 53 empresas, y vio cambios inexactos en los datos de declaración de culpabilidad realizados luego del uso de una función de enmienda masiva para actualizar los casos de audiencias de magistrados que se habían aplazado debido a Covid-19. La respuesta del ICO a este incidente aún está pendiente.
El Ministerio de Justicia también vio otros 6267 incidentes que no alcanzaron el umbral de notificación de la ICO. La mayoría de ellos están relacionados con información divulgada por error, por ejemplo, datos que se envían a la dirección de correo electrónico incorrecta.
El Ministerio de Justicia dijo que se toma muy en serio todos los incidentes de pérdida de datos personales, y que el departamento requiere que todo el personal realice una capacitación obligatoria en protección de datos cuando se une, y luego cada 12 meses.
Dijo que continúa monitoreando y evaluando los riesgos de sus datos para identificar y abordar las debilidades, y también ha implementado recientemente nuevos procesos para mejorar su capacidad para realizar análisis de causa raíz de incidentes y tomar medidas correctivas.
