信息安全:员工错误将数据放在风险上

政府数据安全漏洞包括电子邮件,网站附件。

by / June 7, 2009

如果您在其中工作,最近在安全领域的任何事件可能足以让您在绝望中抛弃手臂并吻您的数据再见。报告使它看起来很无望。

2008 数据泄露调查报告 verizon业务风险团队从2004年到2007年从2004年到2007年处理的团队组成的500多个取证案例中汇编数据已释放,包括超过2.3亿 违反记录。虽然一些违规者归因于恶意活动,但人类错误占案件的62%。

在政府中,事情看起来不太好。新闻 - 精明的专业人士可能通过阅读身份盗窃资源中心(ITRC)发布的Sobering数字,这是一个教育组织关于欺诈和身份盗窃缓解的非营利组织的美容数据。 2008年,超过200万政府和军事记录意外损害,638,000人受到妥协,而在笔记本电脑和其他移动设备上的数据则受到损害。这是近270万条违反记录。

 

数据处理中的缺陷

虽然当数据安全就在乎时,IT经理可能不会立即想到偶然的违规行为,但这些类型的错误最近经常在公共部门中出现。

案例分数:2008年12月18日, Concord Monitor. 据报道称,9,000多名公民的名称,地址和社会安全号码在新罕布什尔州的卫生保健提供商送到卫生保健提供者的一封电子邮件附件中。为什么?根据报纸的说法,有人愚蠢。

“我们在新罕布什尔州的进程中有一个过程,工作人员定期向我们的健康和人力服务提供商发送信息更新,以便于与医疗保险部门D计划相关的任何变更或信息,”该部门的南希·罗林斯表示,南希·罗林斯表示。

2008年12月1日,该部门通过电子邮件发送了61名服务提供商,通知他们新罕布什尔州将在2009年计划中提供较少的计划。但消息的Microsoft Excel附件包含了很多。

“工作簿的一部分还包含有关Medicare D部分的低收入补贴个体的信息,”罗林斯表示。私人信息属于9,000多人,大约有一半的新罕布什尔州的18,000个计划登记者。

“但是,除非您实际进入工作簿并点击了几个其他选项卡,否则数据不容易辨别,然后您必须从右到左滚动,所以你必须真正挖掘它,”罗林斯说。

12月4日,一个提供者之一,花岗岩国家独立生活,要求通知国家已收到额外数据。健康和人类服务就上市了这个问题。

“我们立即联系了我们已发送电子邮件的所有原始人士,要求他们删除电子邮件并证明他们确实删除了电子邮件的事实,”罗林斯说。

但是,一些服务提供商不过将电子邮件转发给其他收件人。最后,ROLLINS回忆起,约481名接收者收到的信息多于他们所在的更多信息。

健康和人类服务还要求提供商跟进他们转发信息的机构并要求他们删除它,并且该部门还要求书面确认,即电子邮件已被删除。此外,该部门创建了一个三人团队,审查信息处理程序。

新罕布什尔州的突破,因为它的尴尬,并不是政府的异常。违规是在新闻中 - 由于人员错误或数据在过境中。

  • 2008年10月, 印第安纳波利斯明星 报道了
  • 一个带有小药物和酒精犯罪的3,300人的名称,社会安全号码和出生日期的电子表格被误解为印第安纳波利斯政府网站11天。
  • 2008年10月, 查尔斯顿宪报刊登 据报道,载有500多个西弗吉尼亚州员工的个人信息的笔记本电脑从承包商停放的车辆中偷走了。
  • 2007年7月, 北县时间 报告称,在Encinitas,Calif,City网站上的公共文件夹中发布了大约1,200人的信用卡和支票账户信息,为City Recreation计划发布了三个月的公共文件夹。
  • 2007年8月, 纽约日常新闻 据报道,一台包含姓名,地址,社会安全号码和养老金信息约280,000个纽约市退休人员的养老金。笔记本电脑已经拥有承包商。


在印第安纳波利斯和Encinitas病例中,如在新罕布什尔州,受损的组织在发生后的一段时间后才知道违规行为。根据Verizon的报告,公共部门或私营部门并不少见。

太少太迟?

verizon的数字 揭示这是在63%的违约组织中了解了他们的几个月,数周为18%,天数为14%,小时数为3%,持续2%。

“我们发现这些实体需要几个月 - 无论是政府还是私营部门 - 实现他们被违反了。不仅 - 他们不是那些实现它的人,”Eric Brohm说: Verizon的资深安全顾问。 “实现在其中四个案件中的三个中,往往来自第三方。”

正如Brohm所说,该报告中引用的75%的违规者被第三方发现,其中66%涉及违规组织甚至没有知道的信息。

那么组织如何让这种令人尴尬地违反裂缝的裂缝?问题可能是信息管理不良的集体案例。

“现在的第1件事现在他们应该做的事情正在监测他们已经到位的IT安全措施,”博克说。 “这是一个非常简单的例子是:我们做了很多案例,人们有很大的案例,冗长的网络日志正在记录每一个来自他们的网站的每一个交易的每一系列信息。违规的证据是正确的在那里,但没有人令人兴奋地看着它。“

他在许多风险队的案件中说,组织没有审计他们的系统。因此,他们没有跟踪他们拥有的数据,在哪里以及哪些应用程序或设备存储它。

杰伊Foley,Iditity盗窃资源中心(ITRC)执行董事,建议组织确保他们的审核包括对数据处理和隐私的政策和程序的审查。文档应解释如何处理信息,从传播到破坏。

“应该有关于我们发布的信息 - 即,我们在网站上进行了哪些东西?它会遇到哪些标准?其次是[我们应该审查]我们如何处理信息,因为它会在我们组织的办公桌上处理信息人们,因为它在小时后储存,因为它在我们的组织中达到了最终目的地,并且它在永久性的基础上储存,直到它推荐出售。最后,但并非最不重要的是,我们如何处理它?“ Foley说。

他说,员工不会伤害员工,为什么要保护这么重要。

  • “我最喜欢的一切例子:你走进去,店员要求你填写一张表格。你看看它并说,”你为什么需要我的社会安全号码?'他说,“好吧,因为它是在表格上,”Foley说。 “如果这是唯一一个理解你的人们对形式的内容以及为什么它在那里,我怎样才能远离你的办公室来思考我是安全的,你会保护我的信息?”

    ITRC对组织的违约行政提供培训和咨询。 Linda Foley与她的丈夫Jay的中心联合创始人表示,她向员工携带数据的客户询问了一套典型的问题。

    “如果违规事业是有人在他们在健身房拍摄的有人拍摄的信息,并且他们的笔记本电脑从他们的汽车前座中被盗:1,为什么笔记本电脑没有隐藏?没有。2,为什么要回家?3,为什么有个人识别信息,如社会安全号码,在那台笔记本电脑上?“她说。

    她表示,政府应该在保护储存在办公室的社会安全号码中获得创意,或者可以在移动中访问。作为一个例子,她引用了匿名研究,其中参与者被随机产生的数字识别。

    在ITRC,即使她没有允许查看所有类型的信息,而且她是那里的执行官。 “我没有获得某些文件的权限,因为我没有必要知道。检查和余额 - 我不需要任何任何目的的人的社会安全号码;因此,我不应该看到它们。“

    照片:Kevin Mitnick,创始人,Mitnick安全咨询

    Mitnick Security Consulting的创始人Kevin Mitnick表示,这一切都归结为员工的意识和勤奋。复杂的软件可能是人们想到他们想要防止外部违规行为,但内部人为错误是一种不同的威胁。

    “技术,我不认为,可以防止一些员工传真的东西不合适,”Mitnick说。 “技术可用于加密信息,但培训人员不是技术问题。这是一个人的问题。”

     

    违背的噩梦

    2007年,政府发现林奇堡,VA,为什么评估信息管理程序很重要。 (林奇堡)新闻和推进 2007年6月报道称,超过1,000名市政雇员和退休人员的个人信息 - 包括出生日期和社会安全号码 - 被包含在附加到RFP的Excel电子表格中,该表张贴在城市网站的采购部分。

    原因?林奇堡通缉来自第三方的征求,提供药房服务,因此它将RFP放在其采购页上。一位供应商要求城市提取医学代码,这有助于供应商决定城市的处方使用。林奇堡没有提供提供此信息的问题,但决定如果一个供应商可以看到它,他们都应该访问。

    将信息放在电子表格中并附在网上RFP上。问题是,电子表格还有员工和退休人员的名称,在该市以前的药房覆盖范围内填写处方,以及其他个人信息。

    据林奇堡人力资源总监玛格丽特施密特统计,没有城市员工彻底审查了电子表格以省略无关的数据,因此当受影响的员工和退休人员谷歌入本身时,他们的个人信息被列入搜索结果。林奇堡的坏消息。

    “当谷歌看看我们的网站时,它也进入了附件。事实后,这是我们发现的 - 谷歌,何时

    • 它在你的网站上爬行,也爬过了附件,“Schmitt说。”这就是我们问题所在的地方:它在谷歌上。不是它实际上发布在我们的网站上,但谷歌挑选了它。“

      这座城市在员工的配偶遗忘后发现了这个问题,以了解一个潜在的雇主可以在谷歌上看到她的东西。她在搜索引擎上找到了她的名字,出生日期和社会安全号码。

      “我认为附件不到10天,所以一旦我们发现它,我们就我们拿走了网站的信息,”施密特说。但该市必须联系Google,让技术巨人从其索引中删除可搜索的信息,直到几周后就没有发生。

      她说,林奇堡不再自动为RFPS添加附件,并且她说,自下列了数据分享和处理程序,她说。这座城市已经一直在努力提高IT安全性,但违约使问题更加紧迫。

      “我认为这样的事件导致我们在让事情放在一起时有点紧迫,”她说。 “它也是,不幸的是,人们需要注意安全策略等事情的最佳例子之一,因为他们讨论了如何在全局意义上管理数据。”

       

      曝光后

      当然,数据漏洞可能是可怕的,但取决于妥协的信息,它们可能不一定是地球破碎。

      “在我看来,暴露社会安全号码不是世界上的重心违规。因为所有它所需要的是互联网浏览器和信用卡,以便在几秒钟内获得任何人的社会安全号码,”Mitnick说。

      主要目标是医疗,财务,银行账户和信用卡信息。

      “你不必成为私人调查员。你不必是执法,”他说。 “所有你真正要知道的是在哪里看,这些信息是合法销售的。”

      Mitnick不会透露特定的信息代理或数据库,但他可能已经指的是类似的网站 www.secret-info.com.,这是在2005年新闻蒙克队的文章中提到的, 社会安全号码在线出售。 该网站通过信用卡提供45美元的社会安全号码。彻底的谷歌搜索调高了类似的经纪人,这些经纪人具有不同程度的支票和余额,以确保请求者是合法的。 Bestpeoplesearch.com提供社会安全号码的搜索,其免费搜索“公开的数据系统”,但表示请求者必须提供文件以证实请求,并且将通知所需编号的人员。

      如果地方政府阻止违约,它将有助于确保社会安全号码和其他个人数据的安全。公民期待城市,县和各国保障其隐私。

      在Verizon的法医工作中,谢霍姆表示,员工往往终止违反意外违规行为,这取决于错误的严重程度。

      “随着我们正在进行调查,我们可能会发现一些人可能不再是一个接触点,因为由于违规行为,他们被放弃了,”博克说。 “这使我们的工作变得更加艰难它。”

      Schmitt表示,“适当的纪律处分”是针对林奇堡的雇员被发现负责城市违约的雇员,但她不会究竟会说这是什么。

      在Brohm的意见中,组织必须强制执行现有的数据处理程序,因此员工不会成为宽松。

        • “公司刚刚执行足够的政策,使该人能够第二次猜测是否发送可能或可能不包含信息的电子邮件,”博克说。 “在组织内继续突破这些政策,即在那里的政策并不是那么多的政策,而是强制执行政策。”

           

          继续

          即使政府在事件发生后采取纠正措施,事故也无法撤消,无论幕后发生什么,信息仍然受到损害。

          虽然政府不能及时回去,但他们可以努力重新获得公民的信任。违约后,新罕布什尔州的卫生和人类服务部寄给了许多受影响的公民。罗林斯表示,这封信向他们建议他们可以做些什么来保护他们的信用评级。该部门还设立了一个运营两周的电话银行。

          根据这一点 Concord Monitor., 手机从上午8点到下午4点举行。并有船后的语音邮件。 “这基本上就像一个战争室,我们有一个巨大的白板,”罗林斯说。房间有手头有信息,所以人们会知道与问题的呼叫者说什么。

          在施密特,施密特联系了City Manager Kimball Payne关于它的违规行为,他们立即开始了公民外展和补救。

          “我们最初向他们发了一封信说,”嘿,我们搞砸了。这是问题的范围,“”施密特说。该市还为员工致电并开展公开会议创建了热线。 “城市经理和我站在200人面前,并乞求宽恕,基本上,”她说。

          林奇堡还随访了一年受到影响和提供身份保护服务的人。

          施密特的过程是紧张的。 “我一直在一些非常困难的情况。这是我第一次站在一群员工面前,我以为会想到我的东西,”她说。 “这是一件非常困难的事情,但与此同时,我认为我们赢得了很多尊重站立,而不是借出借口,只是承认我们犯了一个错误的事实。”


          永远不会错过每日Govtech今天的故事时事通讯。

          订阅


          希尔顿柯林斯

          希尔顿柯林斯是一名前工作人员 政府技术 and 紧急管理 杂志。

E.Republic平台& Programs