著名数据泄露案件系列 2000万军人及家属资料丢失

著名数据泄露案件系列案例(五):

昨天,我们讲了《著名数据泄露案件系列 国家实验室的顶级数据丢失》的故事,今天则是政府部门笔记本电脑丢失后的数据泄露事件。

背景:一家政府机构"退伍军人事务部门(Department of Veterans Affairs)"也遇到了安全缺失问题。2006年5月,该部门确认,一台含有大量敏感信息的便携式电脑从一个雇员马里兰的家中被盗,引来了人们对VA整个数据安全策略问题的关注。

与Los Alamos一样,VA被卷入了媒体与政治风暴。尽管一个多月后,找到了这台被窃的笔记本电脑,两个十多岁的小偷随后因为盗窃行为受到了应有的处罚,但是潜在的安全缺失问题依然很严重。

泄露过程描述:一台含有大量敏感信息的笔记本电脑从一个雇员马里兰的家中被盗,2650万退伍兵及其家庭成员处在同样的盗窃与犯罪风险中。

后续:当该安全危机发生时,VA部长James Nicholson在发生危机的"策略与计划办公室"内做了一系列的人员变动。他还安排了一个针对该部门笔记本电脑和移动设备进行的安全评论。

这位官员还对所有的VA雇员进行了计算机安全知识培训,并且为所有需要访问敏感数据的员工建立了档案库。

就在一年前,这家机构还设立了数据安全加密程序,并且与位于纽约Syracuse的系统集成商Systems Made Simple (SMS)签订了370万美元的合同,对机构所有的笔记本电脑和可移动的介质进行安全升级。

SMS随后与加密软件专业公司GuardianEdge 和 TrustDigital结成联盟,增加设备的安全性,保护各种设备。

两个月前,在House Veterans Affairs Committee之前的陈述中,VAIT部门的部长Robert Howard解释说,VA已经对18000多台笔记本电脑进行了加密处理,并且该机构还完成了对移动设备的加密。此外,据Howard说,这个部门还购买了对睡眠中的数据进行加密的软件。

这个官员还解释说,VA第一次在他们603个计算机系统中对10000多个安全控制进行了测试。

尽管做了这些工作,VA还是遭到了政府安全办公室的指责,最近其被警告说该部门可能存在其它数据破坏/丢失的风险。

9月份,在得到负责退伍兵事务的美国参议院委员会证实前,GAO人力资源与管理信息问题的总经理Valerie Melvin就曾警告说,在VA的安全策略上还存在巨大的漏洞。

她说:"根据我们的评估发现,在我们检查的四个位置上,IT设备的整体控制环境的脆弱性使国家退伍兵部门在相关设备上维护的敏感数据缺乏安全保证。"

这个官员接着说明了GAO审计人员在四个位置识别出有123台丢失的IT设备的具体过程,其中包括53台可能存有敏感信息的计算机。

说明:尽管自从去年的便携计算机被窃事件发生后,关于VA数据安全性有很多的说法,但是很明显的一点是这家机构在相关方面的工作取得了一定的进展。目前的评论是只靠加密不会解决一个根深蒂固的问题。我们的等级评定:4级(必须注意的问题)。