INADI bilgisayar sisteminin binlerce kurbanı riske attığını keşfederler

Ayrımcılık, Yabancı Düşmanlığı ve Irkçılığa Karşı Ulusal Enstitü (INADI), 1995 yılında 24.515 sayılı kanunla kuruldu. Kuruluş, diğer hususların yanı sıra, adından da anlaşılacağı üzere, Ayrımcılık, yabancı düşmanlığı ve/veya ırkçı eylemlere ilişkin şikayetler. 2005 yılından bu yana Haber ve Milletin İnsan Hakları Bakanlığı bünyesinde faaliyet göstermektedir.

gizlilik Bu, mağdurları bildirenlerin verilerinin korunması açısından önemli bir unsurdur. Ancak, Milletin Genel Denetçisi (AGN) tarafından yapılan bir soruşturma şunu belirledi: bilgi koruması INADI bilgisayar sistemi içinde bir potansiyel risklere sahip çeşitli güvenlik açıkları.

Enstitü tarafından verilerinin korunması gereken şikayet sahiplerinin sayısı, INADI’ye alınan şikayetlerin sayısıyla bağlantılıdır. Resmi verilere göre, 2022’de 2.542 şikayet vardı 2021’de de benzer bir rakam. Kuruluşun hazırladığı yönetim raporuna göre olayların yarısı kadınlar tarafından, çoğunluğu ise işyerindeki olaylarla gerçekleştirildi.

Diğerleri ayrımcılık alanları Bunlar genellikle uzun bir senaryo listesi arasında okul, cadde, mahalle, kulüpler, aile ve giyim mağazalarıdır. INADI son yıllık raporunda şunları ayrıntılı olarak açıkladı: yüzde 50 2022 yılındaki şikâyetlerin yüzde 10’u kadınlar tarafından yapıldı; Erkeklerin yüzde 42’si; ve geri kalanı diğer türlere göre.

AGN raporu

AGN raporundan ortaya çıkan endişe şu: veri Şikayetleri fail olduğu iddia edilen kişilere yönelik olan ayrımcılık eylemlerinin mağdurları olan kişiler, düzgün bir şekilde korunuyor. Soruşturma sonuçlandığında denetimin yanıtı, bu özlemin idealden uzak ve paralel bir yolda döndüğü yönündedir.

Victoria Donda, denetimin gerçekleştirildiği sırada INADI denetçisiydi. Fotoğraf: Federico López Claro

Uzmanlık şu konulara odaklandı: Alınan şikayetlerin tedavisi INADI genel merkezinde ve heyetlerinde; Sorguların işlenmesi nasıldı? iletişim kanalları; ve aynı zamanda araştırıldı istatistiklerin hazırlanması ve “Ulusal Ayrımcılık Haritası”nda.

Denetlenen dönem iki yıldan fazlaydı. 1 Aralık 2019 – 31 Ocak 2022 ve çalışma geçen Çarşamba günü altı genel denetçi tarafından onaylandı. Dağıtım, denetim sırasında Victoria Donda tarafından yönetiliyordu; bu pozisyon şu anda avukat ve gazeteci olan denetçi Greta Pena’nın elinde bulunuyor.

AGN’nin ilk bulgusu tam olarak operasyonel olanla bağlantılıdır: “INADI stratejik planı yok Orta ve uzun vadeli bir vizyon oluşturmayı ve kritik süreçlere destek sağlamak için teknolojinin oynaması gereken rolü göstermeyi zorlaştıran bilgi teknolojilerinin (BT) kullanımı. Ayrıca şunu belirtiyor: “BT organizasyon yapısının yetersiz ve yetersiz tasarım fonksiyonlarını etkin ve verimli bir şekilde yerine getirmektir.”

Daha sonra raporun en rahatsız edici yönüne tam olarak giriyor: bilgilerin güvenliği. Daha sonra “çapraz bilgi güvenliği politikalarının bulunmadığını” ve bunun “kendisini etkilediğini” söylüyor. gizlilik, bütünlük ve kullanılabilirlik”. Tutarlı bir bilgi güvenliği planının bulunmadığını ve bu durumun kuruluşun kritik süreçlerinde zafiyetlere yol açtığını ekliyor.

Dikkat çeken bir diğer nokta ise “’kullanıcıların’ yönetiminin ayrımcılık şikayetleri veri tabanına erişmesi” uygunsuz“bilgilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini riske atarak” BT personelinin yanı sıra “güvenlik ve izinsiz giriş testleri yapmaz güvenliğin ölçülmesine, teşhis edilmesine ve düzeltici aksiyon alınmasına imkan vermeyen platformda veya şikayet, sorgu ve istatistiklerin desteklendiği ortamlarda.”

Jesús Rodríguez, Ulus Genel Denetçiliği Başkanı.Jesús Rodríguez, Ulus Genel Denetçiliği Başkanı.

BT altyapısının güvenliği ile ilgili olarak, “BT desteğinin bulunduğu sunucu odası ve ayrımcılık şikayetleri sunucusunun bulunduğu ofis” sonucuna varılmıştır. koşulları karşılamıyorum minimum.”

Ve bu durumun “organizmayı bir duruma soktuğunu” belirtiyor. yüksek düzeyde risk ve güvenlik açığıhatta ayrımcılık şikâyetleriyle ilgili süreçlerin yönetildiği göz önüne alındığında, hassas ve gizli bilgiler”.

Araştırma bu eksikliklerin çeşitli örneklerini sunmaktadır. Örneğin biri, sorgu alma sürecinde bunu gözlemliyor. Şöyle açıklıyor: “Kuruluş, yerleşik bir veri tabanını işletiyor ve bu veri tabanına erişiyor. dışarıdan sağlananGradicom SA şirketi tarafından geliştirilen bir sistem kapsamında kullanıcı lisanslaması işleyişi ve veri girişi için.” Ve INADI’nin yalnızca çalışan kullanıcı sayısına lisans verdiği merkezdebu nedenle “delegasyonların bu teknolojik ortama veri yükleme erişimi yok, bu da aylık olarak göndermeleri gerektiği anlamına geliyor” formları e-postayla göndererek yerel olarak alınan sorgularla hesaplama.”

Ayrıca şunları ekliyor: “Heyetlerin uyguladığı veri alım süreci belgelenmiş ve resmileştirilmiş prosedürler ilgili alt süreçlerin her biri için: formların delegasyonlar tarafından gönderilmesi; the bu bilgiyi kaydethem e-postalarda hem de paylaşılan ağ klasörlerinde; Heyetlerden alınan sorgu bilgilerinin yönetimi.

Acil durum planı yok

Bundan sonrası da daha iyi değil: Operasyonların sürekliliğine atıfta bulunuyor ve basitçe şu sonuca varıyor: “BT personelinin resmileştirilmiş bir Felaket Kurtarma Planı yok ve risk var. BT kesintisinin yüksek etkisiINADI’nin büyük ölçüde bağımlı olduğu bir şey.”

Son olarak, BT personelinin “yürütme ve kurtarma dönemlerini belirleyen bilgilerin (yedeklemelerin) korunmasına yönelik resmi prosedürlere sahip olmadığını ekliyor. yedek kopyalar ve restorasyon testleri.”

Daha sonra AGN, INADI’nin programatik sütunlarından birine odaklanır: Mağdurlara Yardım Müdürlüğü’nün (DAV) Şikayetlerin Alınması ve Değerlendirilmesi Koordinasyonu (CRED).izlemiyor “Hat 168” (eski 0800) bağlantı hizmeti ve ölçmeyi imkansız hale getiriyor Hizmetin yerine getirilmesi.”

Raporun dikkat çekici paragraflarının buradan alındığı son noktaları da aynı derecede endişe verici:

– “DAV ve CRED, “Hat 168” için sözleşme yapılan hizmetin seviyesini kontrol etmez ve kullanıcı alanları yönetmek, kontrol etmek ve ölçmek hükmün kalitesi.”

– “Ayrımcılığa ilişkin şikayet ve soruların ele alınması için uygulanan sistem ve süreçler Entegre değillerAlındığı anda ve sonrasında işleme sırasında bütünlüğünü riske atarak.”

– “Hayır Politika ve prosedürler Bilgilerin gizliliğini garanti altına alabilecek ayrımcılık şikayetleri veri tabanı için resmileştirilmiştir.”

– “DAV imzayı resmileştirmedi gizlilik anlaşması Ayrımcılık şikayetlerinden kaynaklanan ve ifşa edilmemesini sağlayan gizli bilgilere erişimi olan çalışanlarla.”

AGN, INADI’deki kötü yönetimi çeşitli nedenlere bağlıyor. Bir yandan son yıllarda şikayet sayısının arttığını belirtiyor. yüzde 33 büyüdü ve organizasyonun altyapısı genişletilmedi. Öte yandan, tavsiye niteliğindeki bir Danışma Konseyi’nin yardım ettiği bir yönetim kurulu tarafından yönlendirilip idare edilmesi gerektiği halde, “1997’den bu yana aralıklı olarak müdahale edildiğini” vurguluyor. Toplamda 28 yıllık ömrünün 25’ini ameliyatta geçirdi.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir