Szkocki organ nadzorujący biometrię przedstawia obawy policji dotyczące chmury


Szkocki komisarz ds. biometrii napisał do Police Scotland, w którym przedstawił swoje ciągłe obawy dotyczące opartego na chmurze systemu cyfrowej wymiany dowodów używanego przez policję, który wykorzystuje infrastrukturę hiperskalowej chmury publicznej do przechowywania i przetwarzania wrażliwych danych biometrycznych pomimo poważnych obaw związanych z ochroną danych.

Na początku kwietnia 2023 r. Ujawniono „Computer Weekly”. Usługa szkockiego rządu Digital Evidence Sharing Capability (DESC) – zlecona dostawcy materiałów wideo do noszenia na ciele Axon w celu dostarczenia i hostowana na platformie Microsoft Azure – była pilotażowa, mimo że policyjny organ nadzoru wyraził obawy dotyczące tego, w jaki sposób korzystanie z platformy Azure „byłoby niezgodne z prawem”.

Zgodnie z oceną skutków dla ochrony danych (DPIA) przeprowadzoną przez szkocki organ policji (SPA), w której stwierdzono, że system będzie przetwarzał informacje genetyczne i biometryczne, system stwarza kilka zagrożeń dla praw osób, których dane dotyczą.

Obejmuje to potencjał dostępu rządu USA za pośrednictwem ustawy Cloud Act, która skutecznie zapewnia rządowi USA dostęp do wszelkich danych przechowywanych w dowolnym miejscu przez amerykańskie korporacje w chmurze; Stosowanie przez firmę Microsoft umów ogólnych, a nie szczegółowych; oraz niezdolność Axon do przestrzegania klauzul umownychsuwerenność danych.

Po doniesieniach Computer Weekly pt. Szkocki komisarz ds. biometrii Brian Plastow przekazał policji Szkocji (głównemu administratorowi danych w systemie) formalne zawiadomienie informacyjne w dniu 22 kwietnia 2023 r., wymagając od funkcjonariuszy wykazania, że ​​korzystanie z systemu jest zgodne z częścią trzecią ustawy o ochronie danych z 2018 r. (DPA 18), która zawiera przepisy dotyczące ochrony danych obowiązujące w Wielkiej Brytanii dla organów ścigania.

Plastow szczegółowo zapytał, czy miały miejsce transfery danych biometrycznych, jakie rodzaje zostały przesłane, w jakich ilościach i w jakim kraju dane są przechowywane.

Reklama

W odpowiedzi na wezwanie komisarza do oficjalnego wezwania policja Szkocja potwierdziła w lipcu 2023 r., że „w trakcie tego pilotażu „przesłała do DESC znaczną liczbę zdjęć”. Zapewniła ponadto komisarza, że ​​„dane są szyfrowane przez rozwiązanie DESC przed umieszczeniem w centrum danych Microsoft Azure w Wielkiej Brytanii”.

Plastow odpisuje na policję w Szkocji

Pismo skierowane do Police Scotland w piśmie z dnia 5 październikaPlastow zauważył, że chociaż reakcja funkcjonariuszy była pomocna, „nie rozwiała moich konkretnych obaw” związanych z przesyłaniem wrażliwych danych biometrycznych do DESC.

„Główną obawą jest to, że rząd Szkocji zdecyduje się na dostawcę rozwiązań z siedzibą w USA (a nie brytyjskiego lub unijnego dostawcę usług w chmurze bądź rozwiązanie inne niż chmurowe) do hostowania wrażliwych danych biometrycznych (i innych danych organów ścigania), oraz sankcjonując posiadanie kluczy szyfrujących te dane przez firmę Axon (a nie przez Police Scotland), wówczas dane te będą w pełni objęte przepisami ustawy Clarifying Lawful Overseas Use of Data Act 2018 (US Cloud Act) i powiązanymi przepisami USA oraz brytyjska umowa o dostępie do danych” – napisał.

„Takie porozumienia między Wielką Brytanią a USA nieuchronnie wiążą się z różnymi wymogami prawnymi dotyczącymi bezpieczeństwa danych, prywatności danych i powiadamiania o naruszeniach. Będziesz także mieć świadomość, że zasięg amerykańskiej ustawy o chmurze rozciąga się na dowolne miejsce na świecie, dlatego fakt, że serwery DESC przechowujące dane policji w Szkocji mogą być fizycznie zlokalizowane w Wielkiej Brytanii, jest nieistotny.

Dodał, że przesyłanie danych biometrycznych do DESC może potencjalnie naruszyć Zasadę 10 szkockiego ustawowego kodeksu postępowania biometrycznego, która w szczególności dotyczy potrzeby ochrony informacji biometrycznych przed nieupoważnionym dostępem i ujawnieniem oraz wiąże się z obowiązkiem „promowania najwyższej jakości technologii zwiększającej prywatność.”

Plastow potwierdził także w piśmie, że wysłał do szkockiej policji kwestionariusz Kodeksu postępowania do wypełnienia do końca listopada 2023 r., który częściowo dotyczy informacji na temat wykorzystania systemów opartych na chmurze, udostępnianych z siedzibą w USA, do przechowywania i przetwarzania danych biometrycznych, a także potwierdzenie sposobu ochrony bezpieczeństwa i suwerenności tych danych.

Powtórzył następnie, że jego biuro przeprowadzi „oddzielny, ale powiązany przegląd pewności” dotyczący postępowania policji w Szkocji z danymi biometrycznymi zimą 2023 r., aby sprawdzić, czy jest to zgodne z kodeksem.

Chociaż komisarz określił już swój zamiar przeprowadzenia ogólnego przeglądu pewności w grudniu 2021 r. przed poruszeniem kwestii związanych z systemem, w piśmie dodał, że będzie w szczególności zwracać się o dodatkowe informacje na temat przesyłania danych biometrycznych do DESC w ramach ten proces.

„Jeśli ładowanie danych biometrycznych w ramach obecnego programu pilotażowego będzie kontynuowane, przedłużane lub rozszerzane, spodziewam się, że na początku Nowego Roku stwierdzę, czy przesyłanie danych biometrycznych do DESC przez szkocką policję jest zgodne z kodeksem postępowania” – dodał. powiedział. „Jakiekolwiek ustalenie, że tak się nie dzieje, wymagałoby ode mnie przedstawienia szkockiemu parlamentowi raportu o niezastosowaniu się do tego i potencjalnie podjęcia dalszych działań zgodnie z… ustawą szkockiego komisarza ds. biometrii z 2020 r.”.

Bezpieczeństwo i suwerenność

Wyjaśniając dalej swoje obawy, Plastow opisał, w jaki sposób offshoring szkockich danych biometrycznych do amerykańskich dostawców usług w chmurze i podmiotów przetwarzających dane oznacza, że ​​nie można nimi w pełni administrować ze Szkocji.

„Gdyby władze federalne USA miały wydać nakaz lub wezwanie sądowe wraz z poleceniem nieujawniania informacji firmie Axon i/lub Microsoft w związku z przekazaniem szkockich danych biometrycznych zgodnie z postanowieniami amerykańskiej ustawy o chmurze, wówczas szkocka policja prawdopodobnie nawet by o tym nie wiedziała. dostęp do ich danych (wrażliwych danych osoby lub osób) uzyskano i faktycznie zostały pozyskane przez obce państwo” – napisał, dodając, że żadna osoba trzecia nie powinna mieć dostępu do danych biometrycznych należących do Police Scotland bez jej wiedzy i zgody, lub wyraźną zgodę.

„Jest to niezbędne zabezpieczenie, aby zapobiec przekazywaniu danych biometrycznych należących do Police Scotland przez zewnętrznego wykonawcę w odpowiedzi na wymogi prawne i instrukcje dotyczące nieujawniania informacji obowiązujące w zagranicznej jurysdykcji”.

Jeśli chodzi o bezpieczeństwo danych, Plastow dodał, że jest zaniepokojony bezpieczeństwem bardzo wrażliwych danych biometrycznych przechowywanych w infrastrukturze chmury publicznej „w okolicznościach, w których policja Szkocji nie zachowuje pełnej kontroli (lub w tym przypadku żadnej kontroli) nad kluczami szyfrowania danych w ramach DESC”. które są w posiadaniu Axon zgodnie z SPA DPIA.

„Te niezwykle wrażliwe dane biometryczne mogą obejmować zdjęcia ofiar przestępstw, na przykład obrażenia ofiary gwałtu lub napaści na tle seksualnym, a także zdjęcia osób, które mogły zostać oskarżone, ale nie zostały jeszcze skazane za żadne przestępstwo lub wykroczenie” – dodał. napisał, opisując i podając linki do szeregu przykładów naruszeń bezpieczeństwa danych, w wyniku których naruszona została infrastruktura cyfrowa kontrolowana przez Microsoft.

„Te przykłady pokazują, że istnieje poważne ryzyko, które należy wziąć pod uwagę podczas przechowywania „jakichkolwiek” wrażliwych danych w infrastrukturze chmury publicznej… Mówiąc szerzej, będziecie również świadomi niedawnych cyberataków na brytyjską policję z udziałem infrastruktury chmurowej i innej niż chmura, w przypadku których strony trzecie luki w zabezpieczeniach wykonawców współpracujących zaszkodziły reputacji policji”.

Plastow zakończył część dotyczącą bezpieczeństwa danych, odnotowując, że takie przypadki „dostarczają dowodów empirycznych, że „outsourcing” danych, a zwłaszcza danych organów ścigania, takich jak wrażliwe dane biometryczne, zewnętrznym wykonawcom jest przedsięwzięciem wyjątkowo ryzykownym”.

W odpowiedzi na list rzecznik policji Szkocji powiedział: „Przyjmujemy do wiadomości treść pisma od komisarza ds. biometrii i we właściwym czasie odpowiemy na jego zastrzeżenia.

„Szkocka policja w dalszym ciągu ściśle współpracuje ze szkockim rządem i naszymi partnerami z zakresu wymiaru sprawiedliwości w sprawach karnych, aby zapewnić solidne, skuteczne i bezpieczne procesy wspierające dalszy rozwój systemu.

„W miarę postępów w zakresie możliwości udostępniania dowodów cyfrowych w dalszym ciągu współpracujemy z komisarzem ds. biometrii, biurem komisarza ds. informacji i odpowiednimi partnerami, aby wspierać transformację systemu sądownictwa karnego w Szkocji”.

Szersze obawy

Plastow dodał, że jego obawy nie ograniczają się do systemu DESC i dotyczą również innych opartych na chmurze systemów egzekwowania prawa i baz danych w Wielkiej Brytanii.

Jako przykład podał konkretnie, że policyjna służba cyfrowa (PDS) i Home Office Biometrics (HOB) wprowadziły platformę PDS Xchange obsługiwaną przez Amazon Web Services (AWS) z siedzibą w USA, która została zintegrowane z bazą danych odcisków palców brytyjskich organów ścigania IDENT1 od kwietnia 2022 r.

Powiedział, że chociaż „do ICO należy udzielanie porad w takich kwestiach związanych ze zgodnością z brytyjskim prawem o ochronie danych, jednakże ze względu na ponad 831 000 szkockich formularzy odcisków palców w ramach IDENT1 oraz dostęp Szkocji do całego systemu, brytyjskie decyzje o „ dane biometryczne przesyłane na morzu w rozwiązaniu chmurowym z siedzibą w USA mają również potencjalne konsekwencje decentralizacji dla Szkocji”.

Według Owena Sayersa – niezależnego konsultanta ds. bezpieczeństwa i architekta korporacyjnego z ponad 20-letnim doświadczeniem w dostarczaniu krajowych systemów policyjnych – istnieje znaczna liczba systemów Home Office używanych przez policję Szkocji lub w inny sposób przetwarzających jej dane, z których większość będzie obejmować biometria: „W rezultacie obawy Plastowa prawdopodobnie wykroczą poza system Xchange, gdy spojrzy na szerszy krajobraz”.

Dodał: „To oczywiście potwierdza niedawne oświadczenie ministra policji Anglii i Walii udostępnienie baz danych paszportów i praw jazdy na potrzeby policji w zakresie rozpoznawania twarzy jeszcze bardziej interesujące i złożone; należy wziąć pod uwagę szkockie przepisy prawa i kodeks postępowania w zakresie biometrii, przy czym nie jest od razu jasne, w jaki sposób można rozróżnić dane między wykorzystaniem w języku angielskim i walijskim a wykorzystaniem w Szkocji, nawet jeśli Westminster przyjmie przepisy zezwalające na takie ponowne wykorzystywanie obrazów, co jest i tak jest wystarczająco kontrowersyjne.”

„Computer Weekly” skontaktował się z Ministerstwem Spraw Wewnętrznych w sprawie tego, czy konsultował się z właściwymi władzami Szkocji w sprawie umieszczania danych swoich obywateli w wątpliwej prawnie infrastrukturze hiperskalowej chmury publicznej, ale do czasu publikacji nie otrzymał żadnej odpowiedzi.

Plastow zauważył również, że jego odpowiednik w Anglii i Walii, Fraser Sampson, podzielał podobne obawy co do legalności wykorzystywania takiej infrastruktury chmury do przetwarzania danych organów ścigania.

Na przykład w kwietniu 2023 r. Sampson ostrzegł że organy policji i wymiaru sprawiedliwości muszą być w stanie wykazać „natychmiast i jednoznacznie”, że ich wdrożenia w chmurze są zgodne z prawem.

„Chmura to genialnie puszysty eufemizm, który w rzeczywistości nie mówi nic o systemie” – powiedział. „Chcesz wiedzieć: «W jakim kraju przechowywane są moje dane i co to oznacza?». To naprawdę proste. Jakie jest ryzyko, że uzyskamy do nich dostęp w sposób złośliwy lub sądowy?”

Sampson dodał, że organy policyjne i organy wymiaru sprawiedliwości muszą być również świadome zagrożeń, jakie może spowodować tak duże poleganie na niektórych dostawcach i systemach: „Tworzymy coraz więcej zależności dla policji operacyjnej i egzekwowania prawa od tych systemów, a tam, gdzie tworzy się zależności, stwarzasz ryzyko.”

W całym piśmie Plastow nawiązał również do faktu, że Biuro Komisarza ds. Informacji (ICO) nie zajęło jeszcze formalnego stanowiska w sprawie legalności hiperskalowej infrastruktury chmury publicznej do ogólnego przechowywania i przetwarzania danych organów ścigania.

ICO potwierdziło już wcześniej Computer Weekly, że nigdy nie wydało formalnej zgody organów regulacyjnych na korzystanie z takich systemów przez brytyjskie organy ścigania, mimo że w pełni zapoznało się z tymi kwestiami w wyniku bieżących rozmów z zaangażowanymi administratorami danych.

Na przykład w korespondencji SPA z ICO opublikowanej na mocy ustawy o wolności informacji (FOI) organ regulacyjny w dużej mierze zgodził się z jego oceną ryzyka. Jeśli chodzi na przykład o wymogi dotyczące międzynarodowego transferu, zauważył, że wsparcie techniczne świadczone ze Stanów Zjednoczonych przez firmę Axon lub Microsoft stanowiłoby międzynarodowy transfer danych, podobnie jak wniosek rządu USA o udostępnienie danych złożony w ramach ustawy o chmurze.

„Jest mało prawdopodobne, aby te transfery spełniały warunki zgodnego transferu” – stwierdziło ICO. „Aby uniknąć potencjalnego naruszenia prawa o ochronie danych, zdecydowanie zalecamy pozostawienie danych osobowych w Wielkiej Brytanii poprzez skorzystanie z pomocy technicznej w Wielkiej Brytanii”.

Dodał: „Jeśli w ocenie skutków dla ochrony danych występuje pozostałe wysokie ryzyko, którego nie można złagodzić, wymagana jest wcześniejsza konsultacja z ICO zgodnie z sekcją 65 DPA 2018. Nie można kontynuować przetwarzania bez konsultacji z nami”.

Computer Weekly skontaktował się z ICO, aby zapytać, czy jest w stanie podać harmonogram, kiedy zostanie podjęta formalna decyzja w sprawie legalności korzystania z tych systemów chmurowych do przechowywania i przetwarzania danych przez organy ścigania, ale do czasu publikacji nie otrzymał odpowiedzi.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

T-Mobile Starlink Beta za darmo do lipca (i nie tylko dla klientów T-Mobile)

T-Mobile przekazał wiadomości podczas Super Bowl w tym roku, kiedy ogłosił szczegóły dotyczące dostępności i cen dla swojej usługi T-Mobile Starlink. Okazuje się,...

Pokémon Go Karrablast i Shelmet Community Day Guide

Pokémon Go ma Karablast i Shelmet Community Day wydarzenie na Niedziela, 9 lutego, od 14.15 w czasie lokalnym.Zgodnie z oczekiwaniami z wydarzeniem...

Apple działa teraz nowa promocja handlowa: do 50 USD wyżej dla komputerów Macs

Apple właśnie wprowadziło nową promocję wymiany nowych zakupów komputerów Mac, teraz do 2 kwietnia. Wartości handlowe dla wszystkich modeli są teraz nieco wyższe,...
Advertisment