Четыре сотрудника Управления финансового контроля Великобритании (FCA) были уволены с предупреждениями в связи с отдельными случаями, связанными с передачей данных регулирующего органа на их личные учетные записи электронной почты.
Трое сотрудников управления получили свое первое письменное предупреждение за отправку по электронной почте неустановленных данных в соответствии с требованием Закона о свободе информации (FoI). Служба финансового контроля отслеживает огромные объемы данных, включая жалобы на компании. Закон также регулирует случаи, когда организации финансового сектора сталкиваются с утечкой данных, и оштрафовал кредитное агентство Equifax на 11 миллионов фунтов стерлингов (15,7 миллиона долларов) за инцидент, который подверг миллионы потребителей в Великобритании риску финансовых преступлений.Четвертому сотруднику уже вынесено «окончательное письменное предупреждение» за отправку данных FCA по электронной почте, что, по словам органа, нарушает политику допустимого использования его систем.
Эти случаи имели место в 2022/23 финансовом году, и подробная информация о возможном пятом нарушении была включена в ответ FCA, хотя и не была раскрыта в соответствии со статьей 40 Закона о свободе информации. Исключения, предусмотренные статьей 40, вступают в силу, когда раскрытие информации, относящейся к запросу, может привести к установлению личности виновного. В последующие финансовые годы подобных инцидентов выявлено не было.
FCA, в которой работает более 5000 человек, не уточнила характер данных, передаваемых в личные учетные записи электронной почты, или их размер, хотя The Register попросил ее внести ясность в этот вопрос.Представитель FCA выступил с заявлением, но не прокомментировал характер данных, связанных с этими случаями.
Они заявили: «Мы серьезно относимся к любым нарушениям наших политик безопасности электронной почты и внедрили системы и средства контроля для устранения нарушений безопасности электронной почты. Нарушения могут привести к расследованию и дисциплинарным санкциям.
«В 2023/24 и 2024/25 годах у нас не было подобных инцидентов, которые требовали бы дисциплинарных санкций».
Регулирующий орган отвечает за надзор за отраслью финансовых услуг Великобритании, и одной из его обязанностей является расследование сбоев с данными, вызванных своими собственными сотрудниками в организациях, находящихся в его ведении.Как и Управление Комиссара по информации (ICO), оно имеет право назначать наказания, такие как штрафы и другие санкции, когда организации нарушают его правила.
За несколько лет до того, как произошли эти инциденты с данными, регулирующий орган был вынужден признать отдельную ошибку, связанную со случайной утечкой данных, связанных с людьми, которые подали на него жалобы.
Около 1600 заявителей располагали личной информацией, включая имена, адреса, и номера телефонов, включенные в ответ FoI, размещенный на веб-сайте FoI еще в 2020 году.
С тех пор несколько других организаций государственного сектора Великобритании подтвердили нарушения аналогичным образом.
Нарушения со стороны городского совета Саутенд-он-Си, полиции Саффолка и Норфолка, а также печально известной полицейской службы Северной Ирландии (PSNI) были вызваны неправильным обращением с FoI, причем последнее особенно беспокоит тех, кто к этому причастен.Комментируя новость о четырех письменных предупреждениях FCA, Патрик Салливан, генеральный директор аналитического центра Parliament Street, назвал такое поведение «безрассудным и безответственным» и призвал регулирующий орган улучшить свою политику защиты данных.Энди Уорд, международный вице-президент Absolute Security, сказал: «Задача FCA — управлять чрезвычайно конфиденциальными данными, и использование личных учетных записей электронной почты значительно увеличивает вероятность серьезного нарушения безопасности.
«На фоне нескольких громких кибератак жизненно важно, чтобы все организации осознали реальную угрозу, исходящую от незащищенных устройств и ИТ-систем, и обеспечили, чтобы киберустойчивость была на первом месте в повестке дня совета директоров».
Аркадий Уколов, соучредитель и генеральный директор Ulla Technology, сказал, что масштабы этих правонарушений выходят далеко за рамки небольшого числа в FCA — десятки тысяч сотрудников обмениваются корпоративной информацией через личную электронную почту и помощников с искусственным интеллектом «каждый день».
«Реальность такова, что большинство компании понятия не имеют ни о том, что это происходит, ни о связанных с этим рисках для безопасности», — добавил он. «Вот почему так важно внедрить надежные политики и процедуры, чтобы вся информация могла передаваться только по защищенным каналам». ®
