Et datainnbrudd ved US Marshals Service avslørte personers informasjon om fanger
På samme måte som rettshåndhevelsesansvarlige bør være atferdslige forbilder for vanlige borgere, bør lovhåndteringsbyråer vise både private og offentlige organisasjoner hva de skal gjøre og hva de ikke skal gjøre i forskjellige situasjoner. Dessverre fungerer ikke alltid ting på den måten. Den amerikanske Marshals Service (USMS) har for eksempel nylig fått et datainnbrudd, og det må sies at byråets svar etter hendelsen har vært mindre enn ideelt.
Hackere bryter USMS 'servere og stjeler nåværende og tidligere fangenes personopplysninger
USMS er en del av Justisdepartementet, og dens viktigste rolle er å fange flyktninger og avtjene arrestordrer. Tilsynelatende blir personopplysningene til personene som blir tatt i varetekt takket være USMS handlinger logget og lagret på en server. På et tidspunkt i fjor ble denne serveren kompromittert, og dataene i den ble stjålet.
I slutten av desember 2019 informerte justisdepartementet USMS om bruddet, og kort tid etter ble hullet plugget. Akkurat nå er USMS i ferd med å identifisere de berørte tidligere og nåværende fangene og informere dem gjennom snegleposten. De har all rett til å vite om hendelsen, fordi hackerne under bruddet, sifonet bort all informasjonen de trenger for å utføre identitetstyveri. I følge varslene inkluderte den stjålne databasen folks navn, fødselsdato, personnummer og hjemmeadresser. Etter å ha blitt fortalt om bruddet, ble de berørte individene informert om hva de kan gjøre for å beskytte seg mot identitetstyveri.
USMS ønsker ikke å snakke om bruddet
USMS hadde tilsynelatende ingen intensjoner om å gi beskjed til befolkningen om datainnbruddet. Den sendte brevene uten å kunngjøre noe, og folk fikk vite om det først etter at noen av mottakerne delte bilder av varslene på sosiale medier. TechCrunch og ZDNet, de to nyhetsstedene som først skrev om bruddet, ba USMS om ytterligere kommentarer, men myndighetsorganet foretrakk å ikke offentliggjøre ytterligere informasjon.
Det er en konkret mangel på detaljer rundt hendelsen, og den etterlater ganske mange spørsmål ubesvart. Vi vet for eksempel ikke hvorfor det tok USMS den bedre delen av fire måneder før det begynte å informere personene som ble berørt av datainnbruddet. Varslene i seg selv er ikke akkurat overfylte av informasjon. Brevet sier ikke for eksempel hvor mange som ble rammet, hva slags server som ble brukt til å lagre fangenes personlige detaljer, eller hvordan og når hackerne brøt seg inn.
Regjeringsorganisasjoner bør vite bedre enn noen annen at korrekt avsløring av datainnbrudd ikke er så enkelt som å skrive en kort varsling og si at folks personvern og sikkerhet blir tatt på alvor. Selv om det pågår en undersøkelse, er full åpenhet avgjørende hvis det målrettede selskapet eller institusjonen skal opprettholde sin pålitelighet i offentlighetens øyne. Dessverre ser ikke innsyn i dette spesielle tilfellet ut til å være veldig høyt på USMS ’prioriteringsliste.