著名数据泄露案件系列 州政府实习生丢失了磁带!

著名数据泄露案件系列案例(一):

背景:

2007年6月初,俄亥俄州一位22岁的实习生在别人的命令下将一盒存储磁带带回了家,磁带中储存着正在进行之中的俄亥俄州行政知识系统(OAKS)计划的资料。 显然,职员们通常都会将磁带带回家中以便安全保管。

6月10日,保管磁带的任务轮到了实习生的头上。

据俄亥俄州总检察长办公室的报告称,那天晚上,磁带被某人从那位实习生的汽车上偷走了。

后来,所有人都大吃一惊,因为他们获知Accenture公司的一位员工、OAKS计划的一位顾问曾经将康涅狄格州的另一个类似工程的敏感数据拷贝到俄亥俄州的OAKS工程中时,事情变得更富戏剧性了。

总检察长Thomas P. Charles是记录这起数据泄露事故时是这样写的:

虽然OAKS是一项1.58亿美元的工程,俄亥俄州州政府是一个拥有520亿美元资产的巨型机构,但是OAKS工程管理员没有将保存在被偷的备份磁带上的数据加密并在两年前就授权许多实习生可以将磁带带回家。 这种行为不仅违反了IT安全的基本信条,而且也违反了常识。

泄露过程描述:

OAKS工程被偷的磁带上包括康涅狄格州所有政府机关的银行往来帐数据和其他财务信息。据俄亥俄州总检察长称,它还包括受此事件影响的1194732名人员、下属、员工和企业的社会保险号、医疗、工资单和其他资料。

后续:

俄亥俄州总检察长对OAKS工程团队提出了一些建议,包括彻底调查管理政策、IT政策、承包商安全和紧急事件通知等。

说明:

这是一起很坏的数据泄露事件,反映出许多问题。也就是说,OAKS工程数据泄露事件是其他大型政府事业单位的典型代表,这个事件反映出许多与IT无关的问题。 Accenture承包商的行为是令人遗憾的,但是似乎在这类事故中非常典型。我们对该事件的评分为:3(中等的恶性事件)。

敬请继续收看第二个可怕的事故:

丢失了保存重要员工信息的光盘丢失的可怕事故,请看: 《著名数据泄露案件系列 丢失在飞机上的非加密光盘》