Böterna på dataintrång ökar. Enligt ISMS.online Status för informationssäkerhetsrapport 2024, det genomsnittliga bötesbeloppet som svarade företag som rapporterades förra året ökade med nästan 4 % årligen till £258,000 XNUMX. Ändå tar denna studie bara hänsyn till finans-, hälsovårds-, tillverknings-, detaljhandels- och tekniksektorerna. Inom den offentliga sektorn har dataskyddstillsynsmyndigheten, Information Commissioner's Office (ICO) prövat en lättare inställning till böter i två år.  

Till hösten väntar ett beslut om att fortsätta eller skärpa verkställigheten. Bevisen tyder på att det är nödvändigt att tänka om. 

Två år av att dra slag

En analys av ICO-böter av URM Consulting Parlamentet framhåller den skarpa skillnaden i tillsynssätt mellan den offentliga och privata sektorn. Av 29 tillrättavisningar till organisationer förra året riktades 20 mot den offentliga sektorn. Alla 17 utfärdades dock mot privata företag när det gällde böter.  

Bland de mest anmärkningsvärda exemplen på att ICO har dragit sina slag med böter från den offentliga sektorn under de senaste två åren är: 

  • Police Service of Northern Ireland (PSNI), som av misstag läckte känslig information om poliser i vad som har beskrivits som en av de värsta överträdelserna i sitt slag, med tanke på känsligheten kring polisstyrkan. Ändå, även om livet för tjänstgörande officerare och deras familjer utan tvekan riskerades, eventuellt böter på 5.6 miljoner pund reducerades till 750,000 XNUMX pund 
  • Tavistock och Portman NHS Foundation Trust, som av misstag avslöjade e-postadresserna till 1,781 900 Gender Identity Clinic-patienter, av vilka några var offentligt identifierade. En blivande böter skars ned XNUMX%+ till bara £ 78,400 
  • Regeringskansliet, som exponerade namnen och oredigerade adresser till mer än 1,000 500,000 personer som tillkännagavs i New Year Honours-listan, inklusive olika kändisar. Böterna på 50,000 XNUMX pund sänktes till XNUMX XNUMX pund  
  • Försvarsministeriet (MoD), som via e-post läckte mycket känslig information om personer som sökte omplacering till Storbritannien efter att talibanerna tagit kontroll över Afghanistan. 1 miljon pund i böter sänktes till 350,000 XNUMX pund  
  • NHS Highland, som skickade e-post till 37 personer som sannolikt kommer att få tillgång till HIV-tjänster och dela sina uppgifter med varandra. Ett bötesbelopp på 35,000 XNUMX pund reducerades till en ren reprimand.  
  • Valkommissionen, som gjorde det möjligt för hackare att få tillgång till information om 40 miljoner medborgare efter en rad grundläggande säkerhetsfel. Det bötfälldes inte alls utan helt enkelt fick en reprimand 

Varför går ICO lätt?

Förra året bötfälldes fler brittiska företag mellan £250-500K (26% mot 21% 2022) och mellan £100K-250K (35% vs 18%) än under de föregående 12 månaderna, enligt ISMS.online-data. Ändå rymde den offentliga sektorn. Det trots försämrad statistik över dataintrång i regeringen. Enligt ICO:s egna data, analyserad av advokatbyrå Mischon de Reya, det var en häpnadsväckande 8000 % ökning av antalet individer som påverkades av dataintrång i centralregeringen mellan 2019 och 2023. Otroligt nog var det 195 miljoner individer som drabbades av intrång relaterade till "ekonomiska eller finansiella data" bara under 2023, nästan tre gånger befolkningen i Storbritannien. 

Så varför ändrade ICO-policyn? För informationskommissionären John Edwards handlar det om att böter sannolikt kommer att förändra den privata sektorns beteende lättare än i den offentliga sektorn. Och det faktum att statsfinanserna redan är farligt tunna. 

”Jag är inte övertygad om att stora böter i sig är lika effektivt avskräckande inom den offentliga sektorn. De påverkar inte aktieägare eller enskilda styrelseledamöter på samma sätt som de gör i den privata sektorn utan kommer direkt från budgeten för tillhandahållande av tjänster.” skrev han i juni 2022. 

– Effekten av böter från den offentliga sektorn får också ofta besök av offren för överträdelsen, i form av minskade budgetar för viktiga tjänster, inte förövarna. I själva verket straffas personer som drabbas av ett brott två gånger.” 

Ändå är logiken om böter som ett avskräckande medel lite ullig. ISMS.online-forskning visar att endast en femtedel (19 %) av de svarande företagen säger att deras främsta motivation för efterlevnad är att undvika straff. Långt fler pratar om att förbli konkurrenskraftig (34 %), öka kundefterfrågan (34 %) och skydda affärsinformation (30 %) och kundinformation (29 %). Ingen av dessa andra motiverande faktorer är särskilt relevanta för den offentliga sektorn, vilket gör att böter är en av de få spakarna tillgängliga för ICO. 

Det som förvärrar förvirringen är det faktum att det finns blandade meddelanden som kommer inifrån själva ICO. John Edwards var bara nyligen rapporterad som att han sa att hans policy att inte bötfälla den offentliga sektorn utan istället utfärda icke-bindande tillrättavisningar var ”mycket effektiv, särskilt inom den offentliga sektorn där rykte är värt mer än plånboken”. Det har han dock sedan erkänd att det finns begränsade bevis tillgängliga även för att bedöma effekten av monetära straff på sektorn. 

"Jag förväntar mig att den kommande granskningen kommer att ha vissa data och andra bevis med tanke på, till exempel, om ICO har sett några bevis på en förbättring av efterlevnaden i den offentliga sektorn som ett resultat av den offentliga sektorns synsätt," Mishcon de Reya senior data skyddsspecialisten Jon Baines säger till ISMS.online.  

”Anekdotiskt skulle jag säga att vi istället har sett fattigareefterlevnad. Jag är fortfarande inte övertygad om att det finns någon grund för att behandla den offentliga sektorn annorlunda än någon annan sektor. Jag fruktar att den "offentliga sektorns tillvägagångssätt" har effekten att begränsa ICO:s handlingsfrihet att vidta effektiva, proportionerliga och avskräckande åtgärder." 

Plats för förbättring

Så vad händer härnäst? Baines förklarar att, före GDPR, brukade ICO kräva att en personuppgiftsansvarig undertecknade ett "åtagande" för att göra förbättringar – om deras organisation befanns sakna men böter eller verkställighetsåtgärder inte var motiverade. 

"Jag ser ingen anledning till varför ICO inte skulle kunna återuppta detta tillvägagångssätt i lämpliga fall: det skulle få effekten att ålägga högre chefer skyldigheter att se till att deras löfte hålls. Enligt min erfarenhet var dessa "åtaganden" mycket effektiva för att koncentrera de högre chefernas sinnen på vikten av efterlevnad av dataskydd, tillägger han.  

"Jag skulle också föreslå att regeringen överväger om den kan vilja ge formella befogenheter, genom lagstiftning, till ICO att söka sådana åtaganden, med möjlighet till sanktioner mot individer – såväl som organisationer – om åtagandena bryts. Jag tror att det då skulle ha en svit av befogenheter tillgängliga som, var för sig eller i kombination, skulle kunna vara effektiva." 

Mitt i denna förvirring är det bästa sättet för organisationer inom den offentliga sektorn att ta kontroll över sitt öde att proaktivt minska riskerna för intrång. ICO har hjälpsamt lyft fram de saker som både offentliga och privata företag bör göra i detta avseende. Den har tidigare vidtagit åtgärder mot organisationer som har misslyckats med att: 

  • Distribuera multifaktorautentisering (MFA) på externa anslutningar. 
  • Logga och övervaka system och agera när det sker oväntad exfiltrering av data eller RDP-anslutningar 
  • Agera på slutpunktsvarningar som de som produceras av verktyg mot skadlig programvara 
  • Använd starka och unika lösenord på interna konton – särskilt privilegierade konton. 
  • Patcha kända sårbarheter.