Plymouth City Council เผยอีเมลรั่วไหลของครอบครัวเรียนที่บ…

Plymouth City Council เผชิญเหตุรั่วไหลของที่อยู่อีเมลของครอบครัวที่ทำการศึกษาที่บ้านประมาณ 500 ครอบครัว หลังจากส่งจดหมายอิเล็กทรอนิกส์โดยไม่ได้ใช้ฟิลด์ BCC ทำให้ที่อยู่อีเมลของผู้รับทั้งหมดปรากฏต่อกันทั้งหมด เหตุการณ์นี้เกิดขึ้นเพียงไม่กี่วันหลังจากที่ City of York Council ประกาศการรั่วไหลคล้ายคลึงกัน ส่งสัญญาณว่าแนวทางการจัดการอีเมลของหน่วยงานสาธารณะยังคงมีช่องโหว่ที่อาจก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย

Overview

เหตุการณ์นี้เกิดจากการส่งอีเมลจากทีม Elective Home Education ของ Plymouth City Council ที่มีวัตถุประสงค์เพื่อแจ้งข้อมูลการเปลี่ยนแปลงกฎหมายที่เกี่ยวกับการศึกษาในบ้าน อย่างไรก็ตาม ทีมงานไม่ได้เลือกใช้ฟิลด์ BCC ทำให้ที่อยู่อีเมลของผู้รับประมาณ 500 ครอบครัวถูกเปิดเผยต่อกันทั้งหมด การเปิดเผยนี้เป็นการละเมิดความเป็นส่วนตัวตามมาตรฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) แม้ว่าเนื้อหาในอีเมลจะไม่มีข้อมูลส่วนบุคคลของเด็ก ๆ แต่การเปิดเผยที่อยู่อีเมลถือเป็นข้อมูลที่ต้องได้รับการปกป้อง

Incident Details

ตามที่ The Register รายงาน ผู้รับอีเมลหลายรายระบุว่าตัวเองได้รับอีเมลที่แสดงที่อยู่อีเมลของผู้อื่น ทำให้เกิดความสับสนและความกังวลในกลุ่มครอบครัวที่ทำการศึกษาที่บ้าน นอกจากนี้ ยังมีการกล่าวถึงว่าการสื่อสารเพิ่มเติมจากทางเทศบาลทำให้สถานการณ์ยิ่งซับซ้อนมากขึ้น การเปิดเผยข้อมูลดังกล่าวไม่ได้มาจากการโจมตีของแฮกเกอร์หรือซอฟต์แวร์ประสงค์ร้าย แต่เป็นผลมาจากความผิดพลาดของมนุษย์ในการตั้งค่าอีเมล

Council Response

Plymouth City Council ยืนยันว่าเหตุการณ์เกิดจาก human error และได้ออกแถลงการณ์ต่อสื่อท้องถิ่นโดยระบุว่า

• ทีมงานได้ติดต่อผู้รับอีเมลทันทีที่รับรู้ถึงความผิดพลาด
• ขออภัยต่อครอบครัวที่ได้รับผลกระทบและขอให้ลบอีเมลดังกล่าวออกจากระบบของตน
• ย้ำว่าเนื้อหาในอีเมลไม่มีข้อมูลเกี่ยวกับเด็ก เพียงข้อมูลอัปเดตทั่วไป

นอกจากนี้ คณะทำงานภายในได้ทำการตรวจสอบภายในเพื่อสรุปสาเหตุและวางมาตรการตรวจสอบเพิ่มเติม เพื่อป้องกันไม่ให้รายการอีเมลถูกเปิดเผยต่อสาธารณะในอนาคต

Regulatory Reaction

คณะกรรมการคุ้มครองข้อมูล (Information Commissioner's Office – ICO) ได้รับรายงานจาก Plymouth City Council เกี่ยวกับเหตุการณ์นี้ ตัวแทนของ ICO ให้ข้อมูลว่าได้ทำการประเมินข้อมูลในรายงานและให้คำแนะนำด้านการปกป้องข้อมูลแก่เทศบาล หลังจากการตรวจสอบ คดีถูกปิดโดยไม่มีการดำเนินการเพิ่มเติม การตัดสินใจนี้สื่อถึงว่าแม้ว่าการรั่วไหลจะจำกัดอยู่ที่ที่อยู่อีเมลเท่านั้น แต่ก็ยังถือว่าเป็นการละเมิดที่ต้องได้รับการจัดการตามกระบวนการของกฎหมายคุ้มครองข้อมูล

Broader Context

เหตุการณ์นี้เป็นเหตุการณ์ที่สามในช่วงไม่กี่สัปดาห์ที่หน่วยงานของรัฐในสหราชอาณาจักรเผชิญกับการรั่วไหลของอีเมลโดยไม่ได้ใช้ BCC ก่อนหน้านี้ City of York Council ได้เปิดเผยที่อยู่อีเมลของผู้มีความพิการจำนวนหลายร้อยคน การเกิดเหตุซ้ำซากเช่นนี้ชี้ให้เห็นว่าการฝึกอบรมด้านการจัดการอีเมลและการตรวจสอบขั้นตอนก่อนส่งยังคงเป็นประเด็นที่ต้องให้ความสำคัญ การละเมิดข้อมูลแบบง่าย ๆ นี้มักเกิดจากการคลิกผิดปุ่มเพียงครั้งเดียว แต่ผลกระทบต่อความเชื่อมั่นของประชาชนต่อหน่วยงานสาธารณะอาจมีนัยสำคัญ

Analysis

จากมุมมองของผู้สังเกตการณ์ด้านความปลอดภัยข้อมูล การรั่วไหลที่เกิดจากการใช้ฟิลด์ BCC ไม่ได้เป็นการโจมตีทางไซเบอร์ขั้นสูง แต่เป็นจุดอ่อนที่มักถูกมองข้ามในกระบวนการทำงานประจำวันของหน่วยงานสาธารณะ การที่เหตุการณ์นี้เกิดขึ้นต่อเนื่องในหลายเทศบาลบ่งบอกว่าการกำหนดนโยบายและการตรวจสอบอัตโนมัติยังไม่เพียงพอ การปรับใช้ระบบอีเมลที่บังคับให้เลือก BCC โดยอัตโนมัติหรือการใช้เครื่องมือตรวจสอบก่อนส่งอาจลดความเสี่ยงได้อย่างมีนัยสำคัญ อีกทั้งการสื่อสารกับผู้ได้รับผลกระทบอย่างรวดเร็วและโปร่งใสยังเป็นปัจจัยสำคัญในการรักษาความเชื่อมั่นของสาธารณะ

Summary

Plymouth City Council เปิดเผยที่อยู่อีเมลของครอบครัวที่ทำการศึกษาที่บ้านประมาณ 500 ครอบครัวหลังจากส่งอีเมลโดยไม่ใช้ BCC เหตุการณ์นี้ถูกบันทึกเป็นการละเมิดข้อมูลส่วนบุคคลระดับพื้นฐานและได้รับการตรวจสอบโดย ICO ซึ่งปิดคดีโดยไม่มีการลงโทษเพิ่มเติม ความผิดพลาดนี้เน้นย้ำถึงความสำคัญของการจัดการอีเมลที่ปลอดภัยในหน่วยงานสาธารณะ.