Possibile trasformare una richiesta FOIA in data leak? Il Central Bedfordshire Council c’è riuscito

Il Central Bedfordshire Council è stato bollato come “incompetente” dai genitori di bambini che necessitano di bisogni educativi speciali, quando hanno visto i dati personali dei propri figli esposti online

E’ successo che, in risposta ad una richiesta di accesso agli atti, effettuata tramite la legge sulla libertà di informazione rispetto alle istituzioni governative (FOIA), l’ente di turno abbia altresì risposto, ma facendo trapelare i documenti senza alcuna riservatezza sui dati contenuti, pubblicandoli su un sito web pubblicamente accessibile.

La risposta ad una richiesta di accesso documentale espone dati di bambini

Il Central Bedfordshire SEND Action Group, un gruppo di attivisti composto per lo più da genitori di bambini con bisogni educativi speciali (in UK si chiamano SEND: special educational needs and disabilities) che si battono per la conquista di diritti/servizi spesso negati o non adeguatamente coperti, hanno inoltrato una richiesta di libero accesso agli atti al Central Bedfordshire Council, una amministrazione locale che si occupa di gestire e finanziare servizi (per mezzo di fondi rinvenienti da tasse comunali di privati e imprese) nella contea del Bedfordshire, in Inghilterra. La richiesta è stata inoltrata dal gruppo per il tramite di un sito web pubblicamente accessibile che facilita la pratica delle richieste FOIA.

La risposta a questa richiesta è arrivata, e questo potrebbe essere considerato il lato positivo della vicenda. Ma l’unico, perché è arrivata, nel sito stesso utilizzato per la richiesta (accessibile a tutti) e senza aver oscurato i dati personali dei bambini elencati.

Gli attivisti hanno indirizzato dunque il Consiglio all’Information Commissioner’s Office (ICO) per la violazione dei dati, che ora sta indagando sull’accaduto. Da allora il Consiglio è stato costretto a scusarsi con le famiglie colpite dalla violazione dei dati affermando la condotta come “deplorevole”.

Questo errore catastrofico rappresenta un rischio particolare per la salvaguardia dei bambini affidati e adottati e dimostra la cultura della negligenza nei confronti dei bambini SEND che è stata radicata nel Central Bedfordshire Council per almeno un decennio

affermano gli attivisti del gruppo.

Da parte sua il Consiglio, per il tramite di un portavoce ha dichiarato che “Siamo estremamente dispiaciuti per tutte le persone colpite e stiamo contattando tutte le famiglie colpite per scusarci direttamente. Abbiamo segnalato l’incidente all’Ufficio del Commissario per le informazioni e lavoreremo positivamente con loro. Abbiamo già fatto modifiche alle nostre procedure in risposta a questo incidente e agirà rapidamente in base a qualsiasi feedback dell’ICO per rendere i nostri sistemi di protezione dei dati ancora più robusti”.

Le ricadute sono sempre sugli utenti

Una volta che i dati vengono esposti, possono alimentare futuri attacchi informatici se finiscono nelle mani sbagliate. Il fatto che siano stati rivelati dati come nomi, scuole, indirizzi di casa e date di nascita è preoccupante, in quanto potrebbero essere utilizzati per attacchi di ingegneria sociale estremamente mirati alle famiglie dei bambini coinvolti.

Al giorno d’oggi, è fondamentale che tutte le organizzazioni lavorino duramente per garantire che i dati sensibili rimangano sicuri e protetti. Le organizzazioni di ogni settore fanno sempre più affidamento sulle tecnologie digitali per fornire i propri servizi, ed è fondamentale che il personale sia adeguatamente formato su come utilizzare i sistemi per prevenire le violazioni e che le sue competenze siano regolarmente testate. Partecipando a un corso di sensibilizzazione alla sicurezza, il personale può imparare a segnalare possibili minacce alla sicurezza, seguire le politiche IT aziendali e le migliori pratiche e aderire a tutte le normative applicabili sulla privacy e sulla conformità dei dati emanate dall’autorità del paese di competenza (come ad esempio il GDPR).