Почтовая служба избежала потенциального штрафа в размере более 1 млн фунтов стерлингов (1,3 млн долларов) после утечки данных в 2024 году, в результате которой были раскрыты личные данные сотен почтмейстеров, пытавшихся привлечь компанию к ответственности.
Как сообщил регулятор по защите данных, Управление комиссара по информации (ICO), в период с 25 апреля по 19 июня 2024 года были опубликованы имена, домашние адреса и статус 502 почтмейстеров. Информация появилась в неотредактированной версии документа о правовом урегулировании на корпоративном сайте, связанном с печально известным скандалом с ИТ-компанией Horizon.
Более 900 младших сотрудников почты было привлечено к ответственности за фальсификацию бухгалтерской отчётности и кражу, хотя на самом деле проблема была связана с ИТ-системами Horizon, которые использовала Почтовая служба. Многие из них отбыли тюремное заключение или обанкротились.
ICO заявило, что рассматривало возможность штрафа в размере чуть менее 1,1 млн фунтов стерлингов за утечку данных, но не наложило его, так как нарушения не достигли в данном случае порога «вопиющих». Этот подход подразумевает, что штрафы не являются эффективным сдерживающим фактором в публичном секторе и лишь усугубляют и без того нестабильную работу государственных служб. Почта Великобритании — организация с ограниченной ответственностью, полностью принадлежащая правительству.
В результате провинившаяся служба получила от ICO лишь выговор, несмотря на то, что она не прибегла к надлежащим техническим и организационным мерам для защиты информации пользователей. В ведомстве указали, что у компании отсутствовали документированные политики или процедуры обеспечения качества для публикации регламента на корпоративном сайте, а обучение персонала было недостаточным.
Регулятор заявил, что заинтересованные службы должны извлечь из инцидента урок: разработать чёткий протокол публикации конфиденциальных документов в Интернете, централизовать и классифицировать эти документы, используя безопасные общие хранилища, убедиться, что все участники публикации контента понимают свою роль и ответственность, а также провести индивидуальное обучение соответствующих команд по таким вопросам, как протоколы публикации, классификация данных и осведомлённость о рисках.
Усам Оздемиров
