Une violation de données embarrassante au ministère du Commerce international a révélé ses pratiques choquantes en matière de liberté d’information (FOI).

La violation, qui a été qualifiée d'”erreur humaine”, a montré que le département enfreignait plusieurs règles entourant la liberté d’information.

Que s’est-il passé?

Un journaliste du site d’information et de la plateforme de renseignement Politique a reçu un courriel du ministère du Commerce international qui contenait l’ensemble des dossiers de la FOI pour la branche gouvernementale.

Fait assez remarquable, cela s’est produit non pas une fois, mais deux fois sur une période de deux semaines. Tous les fichiers envoyés au journaliste étaient marqués d’une classification de sécurité gouvernementale, ce qu’a souligné un e-mail de suivi du ministère.

La violation ne contenait pas de noms, mais révélait de quelles entités provenaient les demandes, notamment des ONG, des groupes de campagne et des organisations médiatiques, notamment le Guardian et la BBC.

Qu’est-ce que la violation a révélé?

La violation a révélé les pratiques choquantes du Département du commerce international en matière de liberté d’information, montrant qu’un bureau du Cabinet ‘Clearing House’ empêchait la remise d’informations aux journalistes contre la volonté des agents d’information du Département.

Le Clearing House, une aile du Cabinet Office qui décide en fin de compte comment chaque demande de FOI est traitée, a a récemment perdu une bataille juridique concernant la nature opaque de leurs opérations, et qu’il garde une note de qui fait les demandes.

Ceci est troublant car les demandes de FOI sont, légalement, censées être dépourvues de référence à l’identité de la partie intéressée, ou « demandeur aveugle ».

Comme beaucoup sur les bancs du front travailliste l’ont déjà souligné, les preuves de ces pratiques signifient que Michael Gove a menti au Parlement et, à son tour, a enfreint le code ministériel lorsqu’il a nié que ce genre de chose n’existait pas tout en témoignant devant la Chambre.

Quelle a été la réponse ?

Selon Politico, le ministère du Commerce international a déclaré dans son e-mail de suivi qu’il remplirait son obligation de signaler l’incident au Commissariat à l’information. Cependant, dans l’état actuel des choses, l’ICO n’a pas encore reçu de rapport sur cet incident.

Lorsqu’une violation de données se produit, les organismes publics ont 72 heures pour la signaler à l’ICO si elle ne constitue pas une menace pour les libertés des personnes. Le Ministère soutient qu’il ne remplit pas les exigences de déclaration dans ce délai.

La secrétaire d’État fantôme au Commerce international, Emily Thornberry, a déclaré à propos de la violation :

Ce que nous voyons se révéler ici est quelque chose de profondément dangereux et corrosif pour notre démocratie : la preuve qu’un ministère enfreint les directives de la liberté d’information, catégorise les informations en fonction de leur sensibilité et de la personne qui les demande, et prend des conseils sur le traitement des demandes du Cabinet Office Clearing secret. loger

Emily Thornberry, secrétaire d’État fantôme au Commerce international

Le secrétaire fantôme a poursuivi en disant qu’il était essentiel de déterminer si cela était fait pour “contourner ou retarder les obligations du gouvernement en vertu de la loi”.

Les violations de données ne sont pas toujours des attaques

L’important à retenir d’histoires comme celle-ci est que bien que les violations de données soient souvent le résultat d’une attaque sur un réseau, un serveur ou un système par un acteur malveillant, elles peuvent facilement résulter d’une erreur humaine.

Des milliers et des milliers d’e-mails sont envoyés au mauvais destinataire chaque année, par des entreprises grandes et petites.

De toute évidence, même les ministères ne sont pas à l’abri.

Cette violation de données est, d’une manière étrange, vertueuse car elle a exposé les mauvaises pratiques en cours au Département du commerce international, et elle a été envoyée à une organisation médiatique réputée qui n’a pas utilisé l’information à des fins malveillantes, mais a plutôt vient de le signaler. Heureusement pour le ministère du Commerce international, Politico s’est conformé à une ordonnance de suppression des documents.

Cependant, c’est aussi un rappel que parfois les plus grandes vulnérabilités de sécurité dans une organisation peuvent être des employés qui se trompent ou ne font pas assez attention lorsqu’ils manipulent des informations sensibles.

Leave a Reply