【编者按】在信息时代,保密与安全已成为政府公信力的生命线。近日,英国预算责任办公室(OBR)因预算报告提前泄露事件陷入风暴中心,主席理查德·休斯引咎辞职,揭露出系统性的安全漏洞与资源短缺问题。这不仅是技术失误,更暴露了机制深层隐患——从IT配置错误到资金支持不足,从历史疏漏到预警失灵,如同一面镜子,映照出公共机构在数字时代面临的共同挑战。事件发酵背后,是民众对财政透明与信息安全的双重期待,也警示全球:在数据即权力的今天,任何环节的松懈都可能酿成信任危机。以下为事件详述,值得我们深思。
英国预算责任办公室(OBR)主席已辞职。此前一项调查认定,该监管机构的预算泄露事件是其历史上“最严重的失误”。
在一份关于OBR提前约45分钟在网站上发布财政大臣蕾切尔·里夫斯预算政策报告的调查公布后,理查德·休斯宣布辞职。当时里夫斯尚未在下议院发表讲话。
本周一发布的内部报告试图将部分责任归咎于财政部,结论指出财政部未能为OBR的在线运营提供充足资金,是导致此次失误的部分原因。
然而,报告也揭露此前已发生过泄露事件却未被察觉,这加剧了人们对休斯任内安全漏洞的担忧。
在致里夫斯及财政部特别委员会主席梅格·希利尔女士的辞职信中,休斯表示他需要“尽我的一份力,让我过去五年所热爱领导的机构能够从这起令人遗憾的事件中迅速走出来”。
他补充道:“因此,我决定辞去主席职务,这符合OBR的最佳利益,并为我将承担报告中指出的所有不足负全责。”
他的辞职发生在OBR发布关于此次错误的报告两小时后。报告指出:“多年来,导致此漏洞存在并最终暴露的情况,其最终责任在于OBR的领导层。”
报告还称:“我们毫不怀疑,此次在发布前未能保护信息的行为,对OBR的声誉造成了严重损害。这是OBR15年历史上最严重的失败。”
“这对财政大臣造成了严重干扰,她完全有权预期《经济与财政展望》(EFO)报告不会在她完成预算演讲坐下之前公开。按照惯例,该报告本应与财政部的解释性红皮书一同发布。”
“OBR主席理查德·休斯已表达了诚挚的歉意,这是正确的。”
上周,在这家财政监管机构提前发布里夫斯的预算政策后,休斯下令进行调查。报告称此举对财政大臣“造成了严重干扰”。
由OBR办公室主任劳拉·加德纳牵头、前国家网络安全中心首席执行官夏兰·马丁教授提供咨询的调查驳回了泄露源于黑客攻击的说法,反而揭露了OBR IT系统中“预先存在”的弱点。
他们的报告显示,《经济与财政展望》报告在上午11:30至12:08之间可在网上访问,在此期间被32个独立用户访问了43次。网页地址与三月份财政报告使用的地址相同,仅月份有所改动,这使得人们相对容易找到文件。
文件在上午11:35首次被一位用户访问,该用户此前曾尝试连接超过30次。上午11:41,细节内容被路透社泄露——这比财政大臣原定于12:30过后开始的财政声明提前了近一小时。
调查还发现,此前在休斯任内,三月份已有文件被提前发布。当时OBR对里夫斯财政声明的评估也提前半小时上线,但无人察觉。
报告作者表示,他们没有时间调查是否有人在发布前获取过其他文件,但指出:“2025年3月的《经济与财政展望》似乎曾被提前访问过一次,不过没有证据表明因此次访问而进行了任何活动,他得出的结论是,最可能的解释是无恶意的。”
“必须对最近的一些财政事件进行更详细的数字取证审计,以尽可能从数据中确定,先前发布程序未正确应用的这些未决问题,是否曾导致其他提前访问的情况。”
调查警告称,上周的泄露事件可能会在下次财政事件时引发不诚实的提前获取文件行为,并表示:“我们相信EFO的安全性至关重要,尤其是在2026年春季,这不仅因为此次试图提前获取的成功必将鼓励未来的尝试。”
然而,调查指出“没有迹象表明”未能保护文件“是外国行为体或网络犯罪分子的恶意网络活动所致,或是由OBR工作人员共谋造成”。
报告补充道:“这也不仅仅是过早按下了本地管理网站上的发布按钮。本质上,原因似乎是预先存在的配置错误,这反映了系统性问题。这些错误导致未能确保在发布前将文件对公众隐藏的保护措施到位。”
该监管机构的报告确实将部分责任归咎于财政部,认为OBR在在线发布文件的任务上“资源不足”。
报告还呼吁财政部向OBR提供更多资金,以提升其网站安全性。
报告称:“因此,我们强烈认为,应建立全新的安排来发布这些对市场和时机敏感的重要文件。”
报告继续指出:“在限制每年仅测试两次的发布安排上的开支、限制在这些事件上使用稀缺资源,与确保过程中有充分保护的需要之间,紧张关系显而易见。”
“OBR没有‘IT部门’;责任由极少数承担多项其他任务的个人承担。我们建议财政部在制定OBR预算时,更加关注提供充分支持和/或充分资助专业知识的必要性。”
除了呼吁财政部提供额外资金以加强安全外,报告还建议OBR对其网站运营方式进行紧急审查,并呼吁其他政府部门审查其安全安排。