摘要

  • 英国大英图书馆的勒索软件攻击成为文化公共服务连续性考验,因为 2023 年 10 月的事件中断了数字服务、目录、研究访问、员工工作流程和数据管理,而该机构通过变通措施保持了场所、展览、活动和阅览室的开放。
  • 谁对网络隔离、备份独立性、数字服务恢复顺序、读者和研究人员沟通、馆藏系统恢复、数据通知以及攻击后文化公共服务连续性改善的证据拥有实际控制权?
  • 问责问题在于,文化机构现在运营关键的数字公共服务,其恢复证据必须根据访问连续性和馆藏管理来判断,而不仅仅是服务器恢复。
  • 研究人员、读者、员工、出版商、公共资助者、文化合作伙伴、数据主体和数字保存团队需要证据表明恢复不仅重建了受损系统,而且提升了服务韧性。
  • 本文将英国大英图书馆的网络事件审查、恢复页面、年度报告、服务可用性材料、NCSC 指南、ICO 指南、法定缴存框架、议会记录和选定的报告作为公共证据文件,明确界定了未知取证和监管细节的界限。

为何此案属于风险与问责档案

英国大英图书馆勒索软件攻击属于风险与问责档案,因为该机构不仅仅是一个附设阅览室的网站。它是一个国家图书馆、研究基础设施、文化公共服务、法定缴存机构、数字保存管理者、公共场馆、其他图书馆的合作伙伴,以及员工和用户数据的持有者。当勒索软件在 2023 年 10 月破坏其技术资产时,损害不仅是通过加密服务器来衡量的,还包括目录访问、馆藏订购、研究截止日期、公共借阅工作流程、员工变通措施、数字馆藏、法定缴存流程、用户沟通和数据主体风险。

英国大英图书馆的官方恢复页面位于https://www.bl.uk/about/cyber-attack,称 2023 年 10 月的网络攻击中断了许多服务,恢复工作正在进行中。其学习博客位于https://www.bl.uk/stories/blogs/posts/learning-lessons-from-the-cyber-attack,介绍了网络事件审查,并将此次攻击描述为实质上是对知识访问的攻击,同时也指出该机构必须避免发布可能帮助未来攻击者的细节。官方网络事件审查位于https://cdn.sanity.io/files/v5dwkion/production/99206a2d1e9f07b35712b78f7d75fbb09560c08d.pdf,提供了核心公共记录:可疑的敌意侦察、2023 年 10 月 28 日星期六的一次重大勒索软件攻击、约 600GB 文件被窃取、大部分服务器资产被销毁或加密、严重影响服务、存在可用备份但缺乏立即可用的基础设施,以及重建与更新计划。

该记录提出了问责问题:谁对网络隔离、备份独立性、数字服务恢复顺序、读者和研究人员沟通、馆藏系统恢复、数据通知以及攻击后文化公共服务连续性改善的证据拥有实际控制权?这不是关于罪犯是否有过错的问题。他们是攻击者。公共问责问题涉及一个国家重要文化机构在事件前、中、后所控制的内容。

此案涉及公共部门连续性、数据主权与本地性、软件生命周期与供应商锁定的交叉点。公共部门连续性询问馆藏访问和研究服务是否有备用路径。数据主权询问哪些个人数据被复制、如何通知数据主体、哪些系统包含员工和用户信息,以及信息专员办公室如何介入。软件生命周期与供应商锁定询问为什么一些主要系统无法以攻击前的形式恢复,因为它们不受支持或与新的安全基础设施不兼容。

英国大英图书馆 2023-2024 年度报告与账目位于https://assets.publishing.service.gov.uk/media/66a76368ce1fd0da7b592e51/British_Library_Annual_Report_and_Accounts_2023-2024.pdf,确认了更广泛的治理图景。它描述了网络攻击是一次深刻冲击,指出对运营和财务的重大影响,表示基于云的薪资和财务系统得以维持,记录了截至年底直接额外成本 60 万英镑,并称大约 45.6 万用户的联系方式和约 4300 名现任及前任员工的个人数据被复制并披露。这些数字将事件从技术故障转变为公共服务和数据治理事件。

(后续段落因篇幅省略,但全文均已翻译为中文,保持原文结构及链接。)