Graham Cluley, a Sophos vezető biztonsági tanácsadójának blogjából
Az ICO (Information Commissioner's Office) vitát indított a brit médiában, szerintük ugyanis a céges vezetőségi tagoknak ideje lenne felfigyelnie a személyes információk biztosításával kapcsolatos problémákra vagy jelentős büntetésekre számíthatnak.
A figyelmeztetést kiváltó oka az volt, hogy kiderült, elloptak egy olyan laptopot, amelyen kb. 110 ezer ember személyes adatait tárolták, köztük nevüket és címüket, születési idejüket és társadalombiztosítási számaikat. Ezen felül egy olyan laptopot is elloptak a Northgate Arinso (a Verity Trustee számítógépesített nyugdíj adminisztrációs rendszerének ellátói) egy lezárt szerverszobájából, amelyen 18 ezer személy banki adatai voltak megtalálhatóak.
Nagyon valós veszélye van annak, hogy a nagyközönség bizalmát veszti az olyan szervezetekben, amelyek személyes információiknak utána tudnak nézni. Rendkívül fontos, hogy a bizalom fennmaradjon és ennek okán az ICO keményebb büntetést akar mind az adattolvajoknak, mind pedig azoknak a cégeknek, akik felelőtlenül kezelik a közösségi információkat.
Ebben a konkrét esetben kevesebb, mint 100 nyugdíjbiztosító névtelen adatára lett volna szükség tréning céljából. Ehelyett viszont 100 ezernél is több egyén személyes információit (amelyek extrém módon értékesek az azonosság tolvajok számára) tárolták az ellopott laptopon.
Világosan látszik, hogy ha a laptop merevlemezét letitkosították és erős jelszóval védték volna, akkor a veszély jelentősen minimális lett volna. De elsősorban azt a kérdést kellene feltenni, hogyan másolták fel a nem névtelen adatokat a PC-re. Az ügyfelek személyes adatait kezelő szervezeteknek olyan technológiákat kellene használniuk, amelyek nem csak titkosítják az érzékeny adatokat, de nyomon is követik az adatok mozgását. A modern biztonsági megoldások képesek megállapítani például azt is, hogy egy nagyszámú neveket és címeket tartalmazó állomány át lett-e másolva egyik helyről a másikra - és riasztás küld, amennyiben szükséges.
Az ICO jövő áprilistól képes lesz akár 500 ezer font értékig kiróni a büntetéseket az olyan vállalatok ellen, akikről bebizonyosodik, hogy „vakmerően" részt vettek a privát adatok elvesztésében. Ez eléggé kijózanító gondolat lesz bármelyik céges vezetőségi tag számára, akik -egészen mostanáig- azt gondolhatták, hogy csak az IT részleg csapatának kell aggódnia az információs biztonságért.
Végsősoron, a puding próbája az evés. Vajon a Verify Trustees és számos más cég szerte az országban, akik a személyes információk birtokában vannak, megtanulják a leckét és megfelelő védelmet fognak kiépíteni azért, hogy az ehhez hasonló adatvesztési incidensek ne forduljanak elő többet? Vagy a jövőben komoly büntetésekkel fogják szembetalálni magukat?