PRIVACYDAILY

N. 139/2023

LE TRE NEWS DI OGGI:

• USA, IL GOVERNO NON ASSICURA PROTEZIONE AI DATI DEI VETERANI, E’ POLEMICA
• IRLANDA, MOUNTMELLICK E’ LA CAPITALE IRLANDESE DELLA VIDEOSORVEGLIANZA
• UK, OFCOM E’ STATA VITTIMA DI UN DATA BREACH

Due gruppi di controllo governativo chiedono ai senatori di esaminare a fondo la scelta del Presidente Biden per il posto numero due del Dipartimento degli Affari dei Veterani, in parte perché aveva autorità su un sistema che ha reso vulnerabili le informazioni personali dei veterani, facendo sì che un’agenzia investigativa federale concludesse che c’era una “sostanziale probabilità di illecito”.Tanya Bradsher, capo dello staff del Segretario della VA Denis McDonough, è la candidata di Biden a vice segretario.Ha avuto autorità sull’Integrated Enterprise Workflow Solution del VA, noto anche come sistema VIEWS. In agosto, l’Office of Special Counsel ha chiesto al dipartimento di completare l’indagine su VIEWS entro 60 giorni. Ora, quasi un anno dopo, il VA non ha ancora risposte. “Eppure, sotto la guida del Segretario McDonough e di Tanya Bradsher, il VA ha chiesto proroghe ogni 60 giorni da allora, puntando ripetutamente i suoi obblighi di indagare e riferire all’OSC su queste gravi segnalazioni di whistleblower”, si legge in una lettera inviata venerdì scorso da Tristan Leavitt, presidente di Empower Oversight e Jacqueline Garrick, fondatrice di Whistleblowers of America. La lettera è stata inviata al presidente del Senato per gli Affari dei Veterani Jon Tester (D-Mont.) e al membro di rango Jerry Moran (R-Kan.), e ottenuta da Fox News Digital. “L’ultima richiesta di proroga, presentata il 1° giugno, ritarderebbe la risposta alle rivelazioni degli informatori fino al 1° agosto”, prosegue la lettera. Eppure, nei dieci mesi trascorsi dal deferimento al VA, sembra che non ci sia stato alcun progresso nella correzione dei problemi”. Secondo ulteriori rivelazioni di whistleblower avvenute di recente, nel giugno 2023, le informazioni private di veterani, whistleblower e dei vostri elettori sono ancora ampiamente, insicuramente e impropriamente accessibili in VIEWS – vulnerabili alla compromissione”.Il senatore Charles Grassley, dell’Iowa, ha già insistito per ottenere risposte su Bradsher. All’inizio di quest’anno, Grassley – che non fa parte della Commissione per gli Affari dei Veterani del Senato – ha ritardato la conferma di un altro candidato di Biden per la VA.”Il sistema VIEWS è sotto l’autorità dell’ufficio del capo di gabinetto Tanya Bradsher. Sulla base di rapporti supportati da documenti in mio possesso, l’anno scorso un esaminatore di frodi certificato dal VA e un professionista certificato della revisione contabile hanno notificato all’ufficio della signora Bradsher che le informazioni personali identificabili (PII), le informazioni sanitarie protette (PHI) e le informazioni sui whistleblower erano ampiamente accessibili in tutto il VA alle migliaia di dipendenti del VA con accesso a VIEWS, indipendentemente dalla loro necessità di sapere”, afferma Grassley in una lettera del 2 giugno a McDonough.

Ovunque andiamo, tutto ciò che facciamo, siamo osservati, non da ultimo a Mountmellick. La cittadina del Laois ha una popolazione recente di 4.069 abitanti e più telecamere a circuito chiuso di qualsiasi altra città del Paese. A Mountmellick ci sono tra le 30 e le 40 telecamere a circuito chiuso della comunità, circa una ogni 90 persone.Per mettere questo dato in prospettiva, l’area nord-orientale del centro di Dublino ne ha 44, per una popolazione di 54.816 abitanti.Le cifre si riferiscono solo agli schemi di CCTV comunitari – progetti di sorveglianza gestiti dai consigli di contea che agiscono come controllori dei dati – e non includono le telecamere CCTV private che potrebbero essere di proprietà di aziende o privati.”Le telecamere sono state installate quando il numero dei garda era in declino”, ha dichiarato il consigliere del Laois Fianna Fáil Paddy Bracken, che ha partecipato all’installazione del sistema di telecamere a circuito chiuso di Mountmellick, insieme a colleghi e a un ex gruppo di vigilanza di quartiere. Non c’è alcun sospetto di riprese illegali da parte del Consiglio.”Le telecamere sono state installate quando il numero di guardie era sempre più basso. Sono stati fatti molti sforzi per organizzare e raccogliere fondi. Le telecamere fungono da deterrente”, ha dichiarato il signor Bracken.”Abbiamo richiesto 48 telecamere e abbiamo ottenuto il finanziamento, ma abbiamo dovuto ridimensionarlo. Ci sono 10 siti e, su ogni sponda, tre o quattro telecamere.”Il crimine non è così grave, ma ci sono degli incidenti. Non vorrei che si desse l’impressione che Mountmellick sia piena di criminalità”. Se non si infrange nessuna legge, non credo sia un problema. Fa sentire le persone anziane più sicure”, ha dichiarato.Il Dipartimento di Giustizia ha fornito un finanziamento di 1 milione di euro all’anno per tre anni per i programmi comunitari. La Gardaí ha accesso a queste telecamere “per ridurre l’incidenza della criminalità, dei comportamenti antisociali, del disordine pubblico e della paura generale della criminalità”.Ma la Commissione per la protezione dei dati (DPC) ha dato un giro di vite su alcuni di questi programmi in tutto il Paese. La DPC ha condotto ispezioni in sette autorità locali: Kildare, Limerick, Galway, Sligo, Waterford, Kerry e le contee di Dublino Sud.

L’ente di controllo dei media Ofcom ha confermato di essere vittima di un attacco informatico da parte di hacker legati a un noto gruppo russo di ransomware.Durante l’attacco di massa sono stati scaricati dati riservati di alcune aziende regolamentate dall’Ofcom e informazioni personali di 412 dipendenti.Numerose aziende, tra cui British Airways, BBC e Boots, sono state colpite dalla violazione del software.L’Ofcom ha dichiarato di aver allertato “rapidamente” tutte le aziende che regolamenta.L’attacco di massa ha violato il software MOVEit, progettato per trasferire in modo sicuro file sensibili, come gli indirizzi dei dipendenti o i dati dei conti bancari, e utilizzato da aziende di tutto il mondo.L’Ofcom ha dichiarato di aver deferito la questione all’organo di controllo dei dati e della privacy, l’Information Commissioners Office (ICO).Secondo quanto risulta alla BBC, non è stato toccato alcun dato relativo alle buste paga.”Durante l’attacco è stata scaricata una quantità limitata di informazioni su alcune aziende da noi regolamentate – alcune delle quali riservate – insieme ai dati personali di 412 dipendenti dell’Ofcom”, ha dichiarato l’Ofcom.”Abbiamo preso provvedimenti immediati per impedire un ulteriore utilizzo del servizio MOVEit e per implementare le misure di sicurezza raccomandate. Abbiamo anche allertato rapidamente tutte le aziende regolate dall’Ofcom interessate e continuiamo a offrire supporto e assistenza ai nostri colleghi”.L’azienda ha dichiarato che nessuno dei suoi sistemi è stato compromesso durante l’attacco. Anche la società di contabilità Ernst & Young (EY) ha dichiarato alla BBC di essere stata vittima.Non appena è venuta a conoscenza del problema con MOVEit, l’azienda ha “immediatamente avviato un’indagine sul nostro utilizzo dello strumento e ha adottato misure urgenti per salvaguardare tutti i dati”.L’azienda ha dichiarato che la stragrande maggioranza dei suoi sistemi che utilizzavano il software non sono stati toccati, ma ha aggiunto: “Stiamo indagando manualmente e approfonditamente sui sistemi in cui potrebbero essere stati acceduti dei dati.”La nostra priorità è comunicare innanzitutto alle persone colpite e alle autorità competenti. L’hack è noto come “attacco alla catena di fornitura”.È stato reso noto per la prima volta quando l’azienda statunitense Progress Software ha dichiarato che gli hacker avevano trovato un modo per penetrare nel suo strumento MOVEit Transfer.Gli hacker hanno sfruttato una falla di sicurezza per accedere a diverse aziende.Alcune organizzazioni che non utilizzano nemmeno MOVEit sono state colpite a causa di accordi di terze parti.La BBC, ad esempio, ha subito il furto dei dati di dipendenti attuali e passati perché Zellis, un’azienda di cui l’emittente si avvale per l’elaborazione delle buste paga, ha utilizzato MOVEit ed è rimasta vittima. Secondo quanto risulta, sono otto le aziende che utilizzano Zellis, tra cui le compagnie aeree British Airways e Aer Lingus e il rivenditore Boots. Si ritiene che decine di altre aziende britanniche utilizzino MOVEit. I criminali responsabili dell’hacking sono collegati al noto gruppo di ransomware Clop, che si pensa abbia sede in Russia.

English version

• USA, GOVERNMENT DOES NOT ENSURE PROTECTION FOR VETERANS’ DATA, IT’S A CONTROVERSITY
• IRELAND, MOUNTMELLICK IS THE IRISH CAPITAL OF VIDEO SURVEILLANCE
• UK, OFCOM WAS VICTIM OF A DATA BREACH

Two government watchdog groups are calling for senators to thoroughly vet President Biden’s pick for the number two spot at the Department of Veterans Affairs in part because she had authority over a system that left veterans’ personal information vulnerable, causing one federal investigative agency to conclude there was a “substantial likelihood of wrongdoing.”Tanya Bradsher, the chief of staff to VA Secretary Denis McDonough is Biden’s nominee to be deputy secretary.She has had authority over the VA’s Integrated Enterprise Workflow Solution, also known as the VIEWS system.  In August, the Office of Special Counsel asked the department to complete the investigation of VIEWS within 60 days. Now, almost a year later, the VA still has no answers.“Yet under Secretary McDonough and Tanya Bradsher’s leadership, the VA has requested extensions every 60 days since then, repeatedly punting its obligations to investigate and report to OSC on these serious whistleblower disclosures,” says a letter sent late Friday from Tristan Leavitt, president of Empower Oversight and Jacqueline Garrick, founder of Whistleblowers of America.The letter was sent to Senate Veterans Affairs Chairman Jon Tester (D-Mont.) and ranking member Sen. Jerry Moran (R-Kan.), and obtained by Fox News Digital.  “Its latest request for an extension, made on June 1, would delay a response to the whistleblower disclosures until August 1,” the letter continues. “Yet, in the ten months since the referral to the VA, there has apparently been no progress whatsoever in correcting the problems. According to additional whistleblower disclosures as recently as this month, June 2023, the private information of veterans, whistleblowers, and your constituents is still widely, insecurely, and improperly accessible in VIEWS—vulnerable to compromise.” Sen. Charles Grassley, R-Iowa, has already insisted on answers about Bradsher.Earlier this year, Grassley — not a member of the Senate Veterans Affairs Committee — delayed the confirmation of a different Biden VA nominee. “The VIEWS system is under the authority of Chief of Staff Tanya Bradsher’s office. Based on reports that are supported by documents in my possession, a VA certified fraud examiner and certified auditing professional notified Ms. Bradsher’s office last year that personal identifiable information (PII), protected health information (PHI), and whistleblower information was widely accessible across VA to the thousands of VA employees with access to VIEWS, regardless of their need to know,” Grassley says in a June 2 letter to McDonough.

Everywhere we go, everything we do, we are being watched – not least in Mountmellick. The Laois town has a recent population of 4,069, and more CCTV cameras than any town in the country. There are between 30 and 40 community CCTV cameras in Mountmellick – about one for every 90 people. To put this in perspective, the north-east inner-city area of Dublin has 44, for a population of 54,816. The figures only refer to community CCTV schemes – surveillance projects run by county councils who act as data controllers – and do not include private CCTV cameras which might be owned by businesses or individuals. “The cameras were installed when garda numbers were in decline,” said Laois Fianna Fáil Councillor Paddy Bracken.Mr Bracken was involved in the installation of the Mountmellick CCTV scheme, alongside colleagues and a former neighbourhood watch group. There is no suggestion of unlawful filming by the council. “The cameras were installed when guard numbers were getting lower and lower. Lots of organising and fundraising was carried out. The cameras act as a deterrent,” Mr Bracken said. “We applied for 48 cameras and we got funding, but we had to scale it back. There are 10 sites and, on each bank, three to four cameras. “Crime isn’t too bad, you have incidents. I wouldn’t want the impression that Mountmellick is crime-ridden.“The cameras pick up on the main roads. If you are breaking no law, I don’t think it’s an issue. It makes older people feel safer,” he said. The Department of Justice provided funding of €1m per year for three years for the community schemes.Gardaí have access to these cameras “to reduce the incidence of crime, anti-social behaviour, public disorder and general fear of crime”. But the Data Protection Commission (DPC) has clamped down on some of these schemes across the country.The DPC has conducted inspections in seven local authorities: Kildare, Limerick, Galway, Sligo, Waterford, Kerry and South Dublin county councils.

Media watchdog Ofcom has confirmed that it is a victim of a cyber-attack by hackers linked to a notorious Russian ransomware group.Confidential data about some companies regulated by Ofcom, and personal information from 412 employees was downloaded during the mass hack.A number of firms, including British Airways, the BBC and Boots, have been affected by the software breach.Ofcom said it had “swiftly” alerted all the companies that it regulates.The mass hack breached software called MOVEit, which is designed to move sensitive files – such as employee addresses or bank account details – securely and is used by companies around the world.Ofcom said it had referred the matter to the data and privacy watchdog, the Information Commissioners Office (ICO).The BBC understands that no payroll data was affected.”A limited amount of information about certain companies we regulate – some of it confidential – along with personal data of 412 Ofcom employees, was downloaded during the attack,” said Ofcom.”We took immediate action to prevent further use of the MOVEit service and to implement the recommended security measures. We also swiftly alerted all affected Ofcom-regulated companies, and we continue to offer support and assistance to our colleagues.”It said that none of its own systems were compromised during the attack.Accountancy firm Ernst & Young (EY) also told the BBC it was a victim.As soon as it became aware of the problem with MOVEit the firm “immediately launched an investigation into our use of the tool and took urgent steps to safeguard any data”.It said the vast majority of its systems which used the software were unaffected but added: “We are manually and thoroughly investigating systems where data may have been accessed.”Our priority is to first communicate to those impacted, as well as the relevant authorities. Our investigation is ongoing.”The hack is known as a “supply-chain attack”.It was first disclosed when US company Progress Software said hackers had found a way to break into its MOVEit Transfer tool.A security flaw was exploited by hackers to gain access to a number of companies.Some organisations that do not even use MOVEit are affected because of third-party arrangements.The BBC, for example, has had data from current and past employees stolen because Zellis, a company that the broadcaster uses to process the payroll, used MOVEit and fell victim.It is understood eight companies that use Zellis are affected, including the airlines British Airways and Aer Lingus, as well the retailer Boots. Dozens of other UK companies are thought to be using MOVEit.The criminals responsible for the hack are linked to the notorious Clop ransomware group, thought to be based in Russia.