Pérdida de datos sobre prestaciones por hijos en el Reino Unido (2007)

La pérdida de datos sobre prestaciones por hijos en el Reino Unido fue un incidente de violación de datos ocurrido en octubre de 2007, cuando desaparecieron dos discos de computadora propiedad de HM Revenue and Customs que contenían datos relacionados con prestaciones por hijos . El incidente fue anunciado por el Ministro de Hacienda , Alistair Darling , el 20 de noviembre de 2007. Los dos discos contenían los datos personales de todas las familias del Reino Unido (UK) que solicitaban prestaciones por hijos a cargo , ^[1] de las cuales la aceptación en el Reino Unido es cerca del 100%. ^[2]

La pérdida

Los discos fueron enviados por personal subalterno de HM Revenue and Customs (HMRC) con sede en Waterview Park en Washington , Tyne and Wear , a la Oficina Nacional de Auditoría (NAO), como correo interno no registrado a través de TNT el 18 de octubre. El 24 de octubre, la NAO se quejó ante HMRC de que no habían recibido los datos. El 8 de noviembre, altos funcionarios de HMRC fueron informados de la pérdida, y el Ministro de Hacienda , Alistair Darling, fue informado el 10 de noviembre. ^[3] El 20 de noviembre, Darling anunció:

El sistema postal interno de HMRC operado por el servicio de mensajería TNT envió a la NAO dos discos protegidos con contraseña que contenían una copia completa de todos los datos de HMRC en relación con el pago de la prestación por hijos. El paquete no fue grabado ni registrado. Parece que los datos no han llegado a la dirección de la NAO. ^[1]

Se pensaba que los datos perdidos afectaban a aproximadamente 25 millones de personas en el Reino Unido (casi la mitad de la población del país). Se informó que los datos personales de los discos desaparecidos incluían nombres y direcciones de padres e hijos y fechas de nacimiento de los niños, junto con los números de seguro nacional y detalles bancarios o de sociedades de construcción de sus padres. ^[3]

La "protección por contraseña" en cuestión es la proporcionada por WinZip versión 8. ^[4] Se trata de un esquema propietario débil (cifrado sin nombre y algoritmos hash ) con ataques bien conocidos. ^[5] Cualquier persona competente en informática podría romper esta protección descargando herramientas fácilmente disponibles. La versión 9 de WinZip introdujo el cifrado AES , que habría sido seguro y sólo se podría romper mediante un ataque de fuerza bruta .

En una lista de preguntas frecuentes, ^[6] en el sitio web de BBC News se informó que el desglose de la pérdida era el siguiente:

• 7,25 millones de demandantes
• 15,5 millones de niños, incluidos algunos que ya no califican pero cuya familia reclama por un niño más pequeño
• 2,25 millones de 'beneficiarios alternativos' como socios o cuidadores
• 3.000 'designados' que reclaman la prestación por instrucciones judiciales
• 12.500 agentes que reclaman el beneficio en nombre de un tercero

Mientras que los ministros del gobierno afirmaron que la culpa era de un funcionario subalterno, los conservadores dijeron que la culpa residía en parte en la alta dirección. Esto se basó en una afirmación de que la Oficina Nacional de Auditoría había solicitado que se eliminaran los datos bancarios de los datos antes de enviarlos, pero que HMRC había rechazado esta solicitud porque sería "demasiado costoso y complicado". ^[7] Los correos electrónicos publicados el 22 de noviembre confirmaron que altos funcionarios de HMRC habían sido informados de la decisión, por motivos de costos, de no eliminar información confidencial. ^[8] El coste de eliminar información confidencial se ha estimado en 5.000 libras esterlinas . ^[9] Aunque en un estudio académico se descubrió que el costo era sustancialmente menor (£650). ^[10]

Según la revista informática Computer Weekly , en marzo de 2007 la NAO había pedido que se enviara por correo postal en CD la información completa de la base de datos sobre prestaciones por hijos, en lugar de una muestra de la base de datos. La primera vez que se hizo esto, todo salió bien y el paquete fue certificado por correo postal. Sin embargo, esta vez el servicio de mensajería lo anuló. ^[11]

Más tarde se reveló, el 17 de diciembre de 2007, que el manual de protección de datos de HMRC estaba restringido únicamente a los miembros superiores del personal, no a los funcionarios públicos subalternos que sólo tenían un resumen de lo que dice el manual sobre seguridad. ^[12]

Otros escándalos de datos

A esto le siguieron varios otros escándalos relacionados con los datos. El 17 de diciembre , Ruth Kelly reveló que los datos de tres millones de conductores principiantes se habían perdido en los Estados Unidos . Sin embargo, los únicos detalles que se dijo que se perdieron fueron: nombre, dirección, número de teléfono, tarifa pagada, centro de pruebas, código de pago y correo electrónico , por lo que no causó mucho pánico debido a la reducción del riesgo de fraude financiero . El 23 de diciembre se reveló que nueve fideicomisos del Servicio Nacional de Salud (NHS) también habían perdido los datos de cientos de miles de pacientes, parte de ella información de archivos, parte de registros médicos, detalles de contacto y datos financieros blandos. Algunos otros fideicomisos también perdieron datos, pero los encontraron con bastante rapidez. Varias otras empresas del Reino Unido también han admitido fallos de seguridad. ^[13]

Respuesta

Darling afirmó que no había indicios de que los datos hubieran caído en manos criminales, pero instó a los afectados a controlar sus cuentas bancarias. ^[1] Dijo: "Si alguien es víctima inocente de fraude como resultado de este incidente, las personas pueden estar seguras de que tienen protección bajo el Código Bancario para que no sufran ninguna pérdida financiera como resultado". Luego, HMRC estableció una línea de ayuda de prestaciones por hijos para aquellos preocupados por la pérdida de datos. ^[3]

El presidente de HMRC, Paul Gray, renunció

El incidente fue una violación de la Ley de Protección de Datos del Reino Unido y resultó en la renuncia del presidente de HMRC, Paul Gray ; Darling comentó que los discos probablemente fueron destruidos cuando "la caza estaba en marcha, probablemente en unos días" y que había una estructura de gestión "opaca" en HMRC y era difícil ver quién era responsable de qué. ^[14] Posteriormente se descubrió que Gray estaba trabajando en la Oficina del Gabinete. ^{[15] [16]} La Policía Metropolitana y la Comisión Independiente de Quejas contra la Policía investigaron la violación de seguridad y agentes de policía uniformados investigaron las oficinas de HMRC. La pérdida generó muchas críticas por parte del líder interino de los demócratas liberales Vince Cable y del canciller en la sombra George Osborne . Osborne dijo:

Seamos claros acerca de la magnitud de este error catastrófico: los nombres, las direcciones y las fechas de nacimiento de cada niño en el país están en dos discos de computadora que aparentemente se pierden en el correo, y los detalles de las cuentas bancarias y del Seguro Nacional Han desaparecido diez millones de padres, tutores y cuidadores. ^[3]

Además, dijo que era "el golpe final a las ambiciones de este gobierno de crear una base de datos nacional de identidad ". Cable también criticó el uso de discos en la era moderna de la transferencia electrónica de datos. Los portavoces de Gordon Brown , sin embargo, dijeron que el Primer Ministro apoyaba plenamente a Darling y afirmó que Darling no había expresado ninguna intención de dimitir. ^[3]

La reacción general del público fue de enojo y preocupación. Los bancos, los individuos, las empresas y los departamentos gubernamentales se volvieron más vigilantes ante el fraude de datos y el robo de identidad y el gobierno se comprometió a ser más cuidadoso con los datos. El público y los medios de comunicación estaban especialmente enojados por el hecho de que los datos no estaban registrados ni registrados y no estaban cifrados de forma segura.

Nick Assinder, corresponsal político de la BBC , expresó la opinión de que creía que Darling tenía "tiempo prestado". ^[17] George Osborne , quien cuestionó si Darling estaba "a la altura del trabajo", sugirió que sería cuestión de días antes de que se tomara una decisión sobre el futuro de Darling. ^[18] Sin embargo, Darling siguió siendo Canciller hasta la derrota laborista en 2010.

TNT afirmó que, como la entrega no estaba registrada, no sería posible ni siquiera determinar si realmente se había enviado y mucho menos adónde iba. ^[19]

Fraude por débito directo de Jeremy Clarkson

El 7 de enero de 2008, Jeremy Clarkson fue objeto de fraude por débito directo después de publicar los detalles de su cuenta bancaria y del código de clasificación en su columna en The Sun para dejar claro que la preocupación pública por el escándalo era innecesaria. Escribió: “Todo lo que podrás hacer con ellos es depositar dinero en mi cuenta. No sacarlo. Sinceramente, nunca había conocido tanta palabrería sobre nada”. Luego, alguien utilizó estos datos para configurar un débito directo de £500 a la organización benéfica Diabetes UK . En su siguiente columna del Sunday Times , Clarkson escribió: "Me equivoqué y he sido castigado por mi error". ^[20] Según los términos de la Garantía de Débito Directo, el pago podría revertirse.

Ver también

• Lista de pérdidas de datos del gobierno del Reino Unido
• Violaciones de seguridad del gobierno del Reino Unido

Referencias

1. "Darling admite la pérdida de 25 millones de registros". BBC . 2007-11-20. Archivado desde el original el 5 de septiembre de 2017 . Consultado el 20 de noviembre de 2007 .
2. "Presión sobre Darling por los registros". BBC . 2007-11-20. Archivado desde el original el 17 de octubre de 2021 . Consultado el 22 de noviembre de 2007 .
3. "Las familias del Reino Unido están en alerta de fraude". BBC . 2007-11-20. Archivado desde el original el 5 de septiembre de 2017 . Consultado el 20 de noviembre de 2007 .
4. Neumann, Peter G. (30 de diciembre de 2007). "Cifrado y discos perdidos de HMRC". El resumen de RIESGOS . 24 (93). Archivado desde el original el 3 de enero de 2008 . Consultado el 2 de enero de 2008 .
5. "Preguntas frecuentes sobre recuperación y descifrado de contraseñas". Archivado desde el original el 10 de febrero de 2008 . Consultado el 5 de febrero de 2008 .
6. "Desastre de datos: respuestas a sus consultas". BBC . 2007-11-21. Archivado desde el original el 31 de enero de 2009 . Consultado el 21 de noviembre de 2007 .
7. "Nuevas preguntas sobre la crisis de datos". BBC . 2007-11-23. Archivado desde el original el 17 de octubre de 2021 . Consultado el 22 de noviembre de 2007 .
8. Correo electrónico de HMRC a NAO Archivado el 27 de noviembre de 2007 en Wayback Machine , 13 de marzo de 2007. Sitio web de NAO. Recuperado el 23 de noviembre de 2007.
9. £5000 habrían hecho que los discos HMRC fueran seguros ^{[ enlace muerto ]} , 23 de noviembre de 2007. telegraph.co.uk. Recuperado el 25 de noviembre de 2007.
10. La eliminación de datos confidenciales sobre prestaciones por hijos habría costado £ 650, 19 de diciembre de 2007. www.port.ac.uk. Recuperado el 20 de diciembre de 2007.
11. "CD de prestaciones por hijos faltantes: qué salió mal y por qué habría continuado de todos modos". ComputerWeekly.com . Archivado desde el original el 24 de diciembre de 2007 . Consultado el 17 de diciembre de 2007 .
12. "El manual de HMRC sobre protección de datos eran datos protegidos". El registro . Archivado desde el original el 19 de diciembre de 2007 . Consultado el 17 de diciembre de 2007 .
13. "Las empresas admiten dos casos más de pérdida de datos personales". 2007-12-11. Archivado desde el original el 14 de diciembre de 2007 . Consultado el 5 de febrero de 2008 .
14. Cariño, Alistair (2011). De regreso del abismo: 1000 días en el número 11 . Libros del Atlántico. ISBN 978-0857892799.
15. "Canal 4 - Noticias - Paul Gray vuelve al trabajo". Archivado desde el original el 18 de noviembre de 2008 . Consultado el 23 de septiembre de 2008 .
16. Veranos, Deborah (20 de noviembre de 2007). "Datos personales de cada niño en el Reino Unido perdidos por Hacienda y Aduanas". El guardián . Londres. Archivado desde el original el 21 de noviembre de 2007 . Consultado el 20 de noviembre de 2007 .
17. "Evaluando el daño político, Darling y Brown". BBC . 2007-11-20. Archivado desde el original el 22 de noviembre de 2007 . Consultado el 20 de noviembre de 2007 .
18. Ministros bajo fuego por registros Archivado el 28 de marzo de 2009 en Wayback Machine BBC News, consultado el 21 de noviembre de 2007.
19. Los CD 'May Never Have Left The Building' Archivado el 9 de julio de 2008 en Wayback Machine Sky News - consultado el 22 de noviembre de 2007
20. Clarkson picado después de una broma bancaria Archivado el 29 de julio de 2010 en Wayback Machine , BBC News

enlaces externos

• Declaración de Alistair Darling ante el Parlamento
• Carta de disculpa de HMRC
• Brown se disculpa por la pérdida de registros y presenta una cronología de los acontecimientos