فرض مكتب مفوض المعلومات البريطاني (ICO) غرامة قدرها 3.1 مليون دولار أمريكي على شركة 23andMe المتخصصة في التحاليل الجينية، وذلك على خلفية خرق أمني واسع النطاق تعرضت له أنظمة الشركة خلال عام 2023. الخرق أدّى إلى تسريب بيانات شخصية حساسة تعود لأكثر من 155 ألف مستخدم في المملكة المتحدة، في حادثة وُصفت بأنها من بين الأخطر على صعيد الخصوصية الجينية.
تفاصيل الهجوم الإلكتروني وعواقبه
الهجوم نُفذ عبر ما يُعرف بـ”هجمات حشو بيانات الاعتماد”، والتي استمرت من أبريل وحتى سبتمبر 2023. استخدم القراصنة بيانات تسجيل دخول مسروقة مسبقًا لاختراق حسابات المستخدمين على موقع الشركة، مما أتاح لهم الوصول إلى معلومات شديدة الحساسية، من بينها الأسماء وتواريخ الميلاد، ومواقع السكن (أو الرموز البريدية)، والعرق والأصل الإثني، وصور الملفات الشخصية، وشجرة العائلة، وتقارير صحية ترتبط بالخلفية الجينية لكل مستخدم.
انتقادات للضوابط الأمنية وتأخر الاستجابة
اتهمت الهيئة المنظمة شركة 23andMe بالإخفاق في تطبيق إجراءات تحقق ومصادقة مناسبة على حسابات المستخدمين، وعدم فرض ضوابط صارمة على الوصول إلى البيانات الجينية الخام، ما جعل النظام عرضة للاختراق. كما وُجهت للشركة انتقادات لفشلها في إنشاء آليات فعالة لمراقبة واكتشاف التهديدات السيبرانية والاستجابة لها، وهو ما أضعف قدرتها على حماية بيانات عملائها. وأشارت التقارير إلى أن الشركة لم تتمكن من معالجة الثغرات الأمنية بشكل فعّال إلا بحلول نهاية عام 2024، أي بعد مرور فترة طويلة من وقوع الخرق.
خلفية حول 23andMe وتداعيات الحادث
تُعتبر شركة 23andMe من أبرز الشركات في مجال تحليل الحمض النووي التجاري، وتوفر خدمات تستند إلى اختبارات الجينات الوراثية لتحديد السمات الجينية والأصول العائلية وحتى التنبؤ بالمخاطر الصحية. لكن الحادث الأخير ضرب سمعة الشركة في الصميم، وأعاد فتح النقاش حول هشاشة خصوصية المستخدمين عند التعامل مع بيانات وراثية على هذا القدر من الحساسية. وقد ينعكس هذا الحادث على مستقبل التشريعات الأوروبية والبريطانية المتعلقة بحماية البيانات، لا سيّما في ما يخص الشركات العاملة في المجالات البيولوجية والتكنولوجية الحساسة.
