Szyfrujcie dane na notebookach!

Do instytucji, które opracowały nową politykę bezpieczeństwa, zakładającą szyfrowanie danych na urządzeniach przenośnych dołączył niedawno UPS.

W październiku ubiegłego roku ta firma logistyczna zanotowała poważne naruszenie bezpieczeństwa danych, gdy podczas służbowej delegacji zagranicznej skradziono jeden z laptopów, zawierający listę płac ponad 9000 pracowników UPS. Razem z listą płac, w tym samym dokumencie były zapisane dane osobowe - data urodzenia, adres zamieszkania, numer ubezpieczenia (US National Insurance) oraz szczegóły dotyczące sposobu przekazywania zarobków na konta bankowe. Komputer ten nie posiadał zainstalowanego żadnego zabezpieczenia kryptograficznego, więc dane nie były w żaden sposób zaszyfrowane!

Wszyscy pracownicy, których dane osobowe skradziono, zostali poinformowani o fakcie. Podjęto działania przeciwdziałające kradzieży tożsamości. UPS podpisał też dokument, w którym zobowiązał się do zapewnienia bezpieczeństwa prywatnych danych w przyszłości. Skutkiem tej decyzji było wdrożenie oprogramowania szyfrującego wszystkie dane składowane na urządzeniach przenośnych, takich jak laptopy czy telefony klasy smartphone.

"Laptopy chronione jedynie za pomocą hasła dostępu nie są bezpieczne. Nalegam, by wszystkie organizacje mocno ograniczyły ilość danych osobowych przenoszonych poza bezpieczne miejsca. Cieszę się, że UPS zastosowało ochronę kryptograficzną w swoich komputerach i telefonach klasy smartphone. Zalecam wszystkim innym organizacjom ten sam krok" - mówi Mick Gorill z biura ICO, instytucji zajmującej się ochroną prywatnych danych. Obecnie niedostosowanie się do tej regulacji przez firmę, której wydano nakaz poprawy bezpieczeństwa danych, jest przestępstwem kryminalnym.

Firma Marks & Spencer miała podobne zdarzenie w 2007 r., kiedy również skradziono komputer przenośny zawierający szczegóły listy płac 26 tys. jej pracowników. Biuro ICO nakazało zaszyfrowanie przenośnych urządzeń do kwietnia 2008 r. Zdarzenie takie spotkało także firmę działającą w branży finansowej. Skipton Financial Services (SFS) została uznana za winną utraty niezaszyfrowanych danych w skradzionym komputerze przenośnym. Informacje dotyczyły ponad 14 tys. klientów. Niekiedy kary za takie naruszenia bezpieczeństwa danych są bardzo dotkliwe. Największa organizacja związana z finansowaniem mieszkań i kredytami hipotecznymi w Wielkiej Brytanii, The Nationwide Building Society, została dwa lata temu ukarana przez FSA (Financial Services Authority) grzywną w wysokości blisko 1 mln funtów po kradzieży komputera zawierającego niechronione dane klientów. W Polsce GIODO jeszcze nie karze za utratę danych klientów i pracowników.