شرکت بهداشت هک شده HCRG از خبرنگار خواست تا گزارش نقض داده‌ها را حذف کند؛ به حکم دادگاه بریتانیا استناد کرد!

یک خبرنگار مستقل امنیت سایبری مستقر در ایالات متحده با درخواست دادگاه بریتانیا برای توقف انتشار مطالب مرتبط با یک حمله سایبری اخیر به شرکت بزرگ خدمات بهداشتی خصوصی HCRG، مخالفت کرده است. این موضوع نشان‌دهنده چالش‌های حقوقی و اخلاقی در گزارشگری امنیت سایبری است.

شرکت حقوقی Pinsent Masons که درخواست حکم دادگاه را به نمایندگی از HCRG در تاریخ 28 فوریه ارائه کرده بود، از وب‌سایت DataBreaches.net خواسته بود تا دو مقاله مرتبط با حمله باج‌افزاری به HCRG را حذف کند.

• این شرکت حقوقی در نامه خود به DataBreaches.net اعلام کرده بود که حکم همراه با این درخواست برای جلوگیری از انتشار یا افشای داده‌های محرمانه‌ای که در جریان حمله سایبری اخیر به سرقت رفته‌اند، به دست آمده است.
• در نامه ذکر شده است که در صورت نافرمانی DataBreaches.net از حکم، این وب‌سایت ممکن است به اتهام توهین به دادگاه محاکمه شود که می‌تواند منجر به حبس، جریمه کیفری یا ضبط دارایی‌ها شود.

با این حال، Dissent Doe، خبرنگار مسئول DataBreaches.net، از حذف این مطالب امتناع ورزید و جزییات حکم را در یک پست وبلاگی منتشر کرد. Dissent با استناد به نامه‌ای از شرکت حقوقی خود، Covington & Burling، اعلام کرد که به این درخواست پاسخ نخواهد داد، زیرا DataBreaches.net تحت صلاحیت حکم بریتانیا قرار ندارد و گزارشگری مطابق با متمم اول قانون اساسی ایالات متحده قانونی است.

Dissent همچنین به این نکته اشاره کرد که متن حکم دادگاه به‌طور خاص DataBreaches.net را نام نبرده و به مقالات خاص اشاره نکرده است.

تهدیدات حقوقی و درخواست‌ها در عرصه گزارشگری امنیت سایبری امری غیرمعمول نیست، زیرا این نوع گزارش‌ها معمولاً شامل اطلاعاتی است که شرکت‌ها نمی‌خواهند عمومی شوند. اما صدور احکام و درخواست‌های قانونی به ندرت منتشر می‌شوند به دلیل خطرات یا ترس از عواقب قانونی.

جزئیات این حکم بینش نادری را ارائه می‌دهد که چگونه قوانین بریتانیا می‌توانند برای صدور درخواست‌های قانونی به منظور حذف داستان‌های منتشر شده که به شرکت‌ها انتقاد می‌کنند یا خجالت‌آور هستند، استفاده شوند.

نامه شرکت حقوقی همچنین تأیید می‌کند که HCRG هدف یک حمله سایبری باج‌افزاری قرار گرفته است.

HCRG، که قبلاً با نام Virgin Care شناخته می‌شد و یکی از بزرگترین ارائه‌دهندگان خدمات بهداشتی مستقل در بریتانیا است، در تاریخ 20 فوریه تأیید کرد که در حال بررسی یک حادثه امنیت سایبری است. این اعلام بعد از آن بود که گروه باج‌افزاری Medusa مسئولیت این نقض را به عهده گرفت و ادعا کرد که 2 ترابایت داده از سیستم‌های این شرکت سرقت کرده است. HCRG بیش از 5000 کارمند دارد و به نیم میلیون بیمار در سراسر بریتانیا خدمات رسانی می‌کند.

هنگامی که TechCrunch با Alison Klabacher، سخنگوی HCRG، تماس گرفت، او گفت: “ما می‌توانیم تأیید کنیم که اقدام قانونی برای جلوگیری از انتشار مجدد هر داده‌ای که توسط گروه جنایتکار دسترسی پیدا شده است، به منظور کاهش خطرات احتمالی برای کسانی که ممکن است تحت تأثیر قرار گرفته باشند، انجام داده‌ایم.”

او افزود: “ما در حال بررسی این حادثه با حمایت متخصصان خارجی هستیم و به هر کسی که تحت تأثیر قرار گرفته باشد، اطلاع خواهیم داد.”

سخنگوی Pinsent Masons، شرکت حقوقی نماینده HCRG، تا زمان انتشار این مقاله نظری ارائه نکرد.

بر اساس درخواست قانونی، Pinsent Masons به دو پست منتشر شده در DataBreaches.net اشاره کرده است که گزارش داده‌اند که گروه باج‌افزاری Medusa مسئولیت حمله سایبری به HCRG را به عهده گرفته و تهدید کرده است که در صورت عدم پرداخت باج، اطلاعات شخصی و داده‌های حساس را منتشر خواهد کرد. این گروه چندین اسکرین‌شات از داده‌های سرقت شده را به‌عنوان مدرک در سایت نشت خود در دارک وب منتشر کرده است.

پست‌های منتشر شده در DataBreaches.net حاوی اطلاعاتی مشابه با گزارش‌های تأیید شده و منتشر شده توسط TechCrunch و دیگر رسانه‌ها هستند.

به گفته Dissent، Pinsent Masons حکم را به ثبت‌کننده دامنه DataBreaches.net ارسال کرده است که در نتیجه آن هشدار داده شده که اگر پست‌ها حذف نشوند، دامنه وب‌سایت معلق خواهد شد. این ثبت‌کننده بعداً نظر خود را تغییر داد و از تعلیق DataBreaches.net امتناع ورزید.

HCRG هنوز نقض را به‌طور عمومی در وب‌سایت خود اعلام نکرده است. Dissent در پست وبلاگی خود در روز چهارشنبه اعلام کرد که در غیاب به‌روزرسانی از HCRG، بسیاری از جزئیات مربوط به حمله سایبری HCRG توسط خبرنگاران مستقل پوشش داده شده است، از جمله وبلاگ امنیت سایبری SuspectFile که جزئیات جدیدی درباره حمله سایبری HCRG منتشر کرده است.

Dissent همچنین خاطرنشان کرد که حکم دادگاه در غیر این صورت “موجب جلوگیری از اطلاع‌رسانی عمومی در مورد این نقض جدی و احتمالاً تأثیر بر روی بسیاری از افراد خواهد شد” و “می‌تواند درهای سانسور گسترده خبرنگاران در بریتانیا یا جاهای دیگر را باز کند.”

او افزود: “خبرنگارانی که هر گونه ارتباطی با بریتانیا دارند ممکن است ایمیل‌های احکامی دریافت کنند که از آن‌ها خواسته شده تا گزارش‌های قبلی خود را در مورد داده‌های سرقت شده از نهادهای بریتانیایی حذف کنند، یا ممکن است از هرگونه گزارش آینده در مورد هر داده‌ای که از یک نهاد بریتانیایی سرقت شده منع شوند.”