NASA又傳員工筆電遭竊至少萬筆個資外洩
日前美國NASA(美國國家航空暨太空總署)因為一名員工未加密的筆電遭竊,導致至少一萬筆個資外洩,為了避免類似情況再度發生,NASA下令內部所有筆電都必須加密,否則不准帶出NASA。
該起事件發生於10/31,NASA某位員工將筆電放在車內,雖然車子上了鎖,但依舊被偷走,該筆電硬碟中包含NASA員工、承包商等個人資料,雖然電腦使用了開機密碼鎖的保護機制,但是硬碟並沒有加密,電腦中某些特定檔案也未遵循NASA規範進行加密,另外,還有一些放在車上的NASA內部文件也同時被偷走。
NASA副署長Richard Keegan Jr.透過電子郵件向員工說明該起事件,並呼籲所有員工引以為誡,根據NASA現階段評估,至少有1萬人受到影響,但實際受影響人數應該更高。NASA說明,由於外洩的資料必須同時進行電子和人工的驗證分析,預估要60天左右才能確認所有受影響的人數。
為了防止被竊的資料遭惡意使用,NASA提醒所有員工特別留意可能會收到造假的訊息、電話、email。舉例來說,對方可能會宣稱自己是來自NASA或其他官方單位的人員,要求提供個人資訊或進行資料核對。
另一方面,為了避免資料外洩事件再度發生,NASA下令要求所有員工的筆電必須在12/21之前完成加密保護,其中,需要在家工作的員工必須率先執行,否則不能將電腦帶離NASA。另外,也要求員工不能將機密檔案存在手機、平板和其他個人行動裝置上。
除此之外,所有員工也被要求重新檢視電腦中的檔案,以確認涉及特定主題的資訊是否確實做好加密,並清除那些不需要的機密檔案。受管制的檔案包括,所有與個人識別資訊(Personally Identifiable Information,PII)有關的資料、國際武器貿易條例(International Traffic in Arms Regulations,ITAR)、美國出口管理條例(Export Administration Regulations)、採購和人力資源資訊,以及其他敏感而非機密(Sensitive but unclassified,SBU)的資料。另一方面,Keegan表示,資訊長也正在評估是否需要在政策和流程上進行任何調整和改變。
Gartner分析師John Pescatore表示,NASA會發生這樣的事情一點都不令人意外,在過去幾年,NASA就發生過數起類似案件,報告顯示,在2009年4月到2011年4月的兩年期間,該組織中遺失或被竊取的行動運算裝置,數量竟高達48台。今年三月時,NASA也發生一起因筆電遺失而導致的資料外洩事件。
此外,在所有聯邦政府單位的筆電中,83%已經使用了加密工具,而NASA行動裝置的加密比例卻是其中最低的,根據白宮管理及預算辦公室(White House Office of Management and Budget)在今年三月公布的一份報告顯示,NASA的行動裝置只有41%符合聯邦資訊安全管理法(Federal Information Security Management Act,FISMA)的加密要求。
Pescatore進一步分析,NASA組織分布較為分散,每個實驗室都有獨立的IT運作和標準,因此加深了企業安全方案推動的難度,而這可能就是NASA在安全措施上落後其他單位的主要原因。
NASA的經驗或許可以做為台灣企業的參考,在思考如何應用行動裝置提昇作業效率、甚至擁抱BYOD浪潮的現今,確保資訊安全顯然是第一件要做的功課。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7226
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
