Bøter for databrudd øker. I følge ISMS.online Status for informasjonssikkerhetsrapport 2024, det gjennomsnittlige bøtebeløpet som svarte bedrifter rapportert i fjor var opp nesten 4 % årlig til £258,000 XNUMX. Likevel tar denne studien kun hensyn til finans, helsevesen, produksjon, detaljhandel og teknologi. I offentlig sektor har datatilsynsmyndigheten, Information Commissioner's Office (ICO) prøvd ut en lettere tilnærming til bøter i to år.  

En avgjørelse om å fortsette eller gå hardere inn på håndhevingen ligger til høsten. Bevisene tyder på at en ny vurdering er nødvendig. 

To år med å trekke slag

En analyse av ICO-bøter ved URM rådgivning fremhever den sterke forskjellen i reguleringstilnærming mellom offentlig og privat sektor. Av 29 irettesettelser til organisasjoner i fjor, ble 20 rettet mot offentlig sektor. Alle 17 ble imidlertid utstedt mot private virksomheter når det gjaldt bøter.  

Blant de mest bemerkelsesverdige eksemplene på at ICO har trukket sine slag med bøter fra offentlig sektor de siste to årene er: 

  • The Police Service of Northern Ireland (PSNI), som ved et uhell lekket sensitiv informasjon om offiserer i det som har blitt beskrevet som et av de verste bruddene i sitt slag, gitt følsomheten rundt politistyrken. Likevel, selv om livene til tjenestegjørende offiserer og deres familier uten tvil ble satt i fare, en mulig bot på 5.6 millioner pund ble redusert til 750,000 XNUMX pund 
  • Tavistock og Portman NHS Foundation Trust, som ved et uhell avslørte e-postadressene til 1,781 Gender Identity Clinic-pasienter, hvorav noen ble offentlig identifisert. En eventuell bot ble kuttet 900%+ til bare £ 78,400 
  • statsrådskontoret, som avslørte navnene og uredigerte adressene til mer enn 1,000 personer som ble annonsert i New Year Honours-listen, inkludert forskjellige kjendiser. En bot på 500,000 50,000 pund ble redusert til XNUMX XNUMX pund  
  • Forsvarsdepartementet (MoD), som lekket via e-post svært sensitiv informasjon om personer som søker omplassering til Storbritannia etter at Taliban tok kontroll over Afghanistan. En bot på 1 million pund ble kuttet til 350,000 XNUMX pund  
  • NHS Highland, som sendte e-post til 37 personer som sannsynligvis ville ha tilgang til HIV-tjenester, og delte opplysningene sine med hverandre. En bot på £35,000 XNUMX ble redusert til en ren irettesettelse.  
  • Valgkommisjonen, som tillot hackere å få tilgang til informasjon om 40 millioner innbyggere etter en rekke grunnleggende sikkerhetsfeil. Det ble ikke bøtelagt i det hele tatt men rett og slett fikk en irettesettelse 

Hvorfor går ICO lett?

I fjor ble flere britiske bedrifter bøtelagt mellom £250-500K (26% mot 21% i 2022) og mellom £100K-250K (35% vs 18%) enn i de foregående 12 månedene, ifølge ISMS.online-data. Likevel slapp offentlig sektor. Det til tross for forverret datainnbruddsstatistikk i regjeringen. I følge ICOs egne data, analysert av advokatfirmaet Mishon de Reya, var det en svimlende 8000 % økning i antall individer som ble berørt av datainnbrudd i sentralregjeringen mellom 2019 og 2023. Utrolig nok var det 195 millioner individer som ble berørt av brudd relatert til "økonomiske eller finansielle data" bare i 2023, nesten tre ganger befolkningen i Storbritannia. 

Så hvorfor endringen i ICO-politikken? For informasjonskommissær John Edwards koker det ned til det faktum at bøter sannsynligvis vil endre privat sektors atferd lettere enn i offentlig sektor. Og det faktum at statsfinansene allerede er strukket farlig tynt. 

«Jeg er ikke overbevist om at store bøter i seg selv er like effektive avskrekkende i offentlig sektor. De påvirker ikke aksjonærer eller individuelle styremedlemmer på samme måte som de gjør i privat sektor, men kommer direkte fra budsjettet for levering av tjenester.» skrev han i juni 2022. 

«Konsekvensen av en bot fra offentlig sektor blir også ofte besøkt av ofrene for bruddet, i form av reduserte budsjetter for vitale tjenester, ikke gjerningsmennene. Faktisk blir personer berørt av et brudd straffet to ganger.» 

Likevel er logikken om bøter som avskrekkende litt ullen. ISMS.online-undersøkelser finner at bare en femtedel (19 %) av de svarte bedriftene sier at deres primære motivasjon for overholdelse er å unngå straffer. Langt flere snakker om å forbli konkurransedyktig (34 %), øke kundeetterspørselen (34 %) og beskytte virksomheten (30 %) og kundeinformasjon (29 %). Ingen av disse andre motivasjonsfaktorene er spesielt relevante for offentlig sektor, og etterlater bøter som en av få spaker tilgjengelig for ICO. 

Det som forsterker forvirringen er det faktum at det er blandede meldinger som kommer fra selve ICO. John Edwards var først nylig rapportert som å si at hans politikk med å ikke bøtelegge offentlig sektor, men i stedet gi ikke-bindende irettesettelser var "veldig effektiv, spesielt i offentlig sektor der omdømme er mer verdt enn pengepungen". Det har han imidlertid siden innrømmet at det er begrenset bevis tilgjengelig selv for å vurdere virkningen av pengestraff på sektoren. 

"Jeg forventer at den kommende gjennomgangen vil ha noen data og andre bevis, for eksempel med tanke på om ICO har sett noen bevis på en forbedring i overholdelse i offentlig sektor som et resultat av offentlig sektors tilnærming," Mishcon de Reya seniordata beskyttelsesspesialist, Jon Baines, forteller til ISMS.online.  

"Anekdotisk vil jeg si at vi i stedet har sett fattigeresamsvar. Jeg er fortsatt lite overbevist om at det er grunnlag for å behandle offentlig sektor annerledes enn noen annen sektor. Jeg frykter at "tilnærmingen til offentlig sektor" har effekten av å begrense ICOs skjønn til å ta effektive, forholdsmessige og avskrekkende handlinger." 

Rom for forbedring

Så hva skjer videre? Baines forklarer at før GDPR, pleide ICO å kreve at en behandlingsansvarlig signerte et "forpliktelse" for å gjøre forbedringer - hvis organisasjonen deres ble funnet mangelfull, men en bot eller håndhevelsestiltak ikke var berettiget. 

"Jeg ser ingen grunn til at ICO ikke kunne gjenoppta denne tilnærmingen i passende tilfeller: det ville ha effekten av å pålegge toppledere forpliktelser for å sikre at deres løfte blir holdt. Etter min erfaring var disse "foretakene" veldig effektive til å konsentrere de øverste ledernes sinn om viktigheten av overholdelse av databeskyttelse, legger han til.  

«Jeg vil også foreslå at regjeringen vurderer om den kan ønske å gi ICO formelle fullmakter, gjennom lovgivning, til å søke slike foretak, med mulighet for sanksjoner mot enkeltpersoner – så vel som organisasjoner – dersom forpliktelsene brytes. Jeg tror at den da vil ha en rekke krefter tilgjengelig som, enkeltvis eller i kombinasjon, kan være effektive.» 

Midt i denne forvirringen er den beste måten for offentlige organisasjoner å ta kontroll over sin skjebne på å proaktivt redusere risikoen for brudd. ICO har nyttig fremhevet tingene som både offentlige og private bedrifter bør gjøre i denne forbindelse. Den har tidligere iverksatt tiltak mot organisasjoner som ikke har klart å: 

  • Implementer multifaktorautentisering (MFA) på eksterne tilkoblinger. 
  • Logg og overvåk systemer og handle når det er uventet eksfiltrering av data eller RDP-tilkoblinger 
  • Handle på endepunktvarsler som de som produseres av anti-malware-verktøy 
  • Bruk sterke og unike passord på interne kontoer – spesielt privilegerte kontoer. 
  • Oppdater kjente sårbarheter.