3秒鐘視頻的泄露導致12萬英鎊罰款
責編:gltian |2018-10-19 14:07:23英國隱私監管機構信息專員辦公室(ICO)對希思羅機場處以12萬英鎊罰款,起因是去年10月某平民在倫敦大街上撿到一個含有機場敏感安全信息的U盤。
撿到U盤的人將U盤插到了當地圖書館的電腦上,發現了約1000份機場文件,都是沒有加密或缺乏口令保護的。
一周后,《星期日鏡報》收到了此人提交的U盤,報道稱該設備含有2.5GB數據,包括希思羅機場反恐安防地圖、視頻、安全流程文檔等。
文件還詳細描述了英國女皇出入該機場的路線、進入限制區域所需的ID類型、監控攝像頭和逃生通道的地圖,以及政要和外國高官使用的路線。
雖然所泄數據屬于機場和國家安全高度敏感信息,但ICO聚焦的重點卻是U盤數據中那1%的個人信息。
關鍵文件是一段約3秒鐘的視頻片段,顯示了活頁夾中的一頁文件,暴露了某歡迎隊伍中10個人的詳細信息,還有12-50位希斯羅航空安全人員的信息。
視頻中暴露的信息包括姓名、生日、登記號碼、國籍、護照號及有效期、職位,還有手機號。
ICO稱接受了希思羅機場有關該信息不容易被看清的辯解,但專員考慮到“動機充分的人可以從截圖之類更穩定的形式定位并抽取這些數據。”
《星期日鏡報》聯系了希思羅機場并將U盤交還給了機場,但拒絕上交復制的數據副本。
據ICO透露,警方已證實用于查閱該U盤文件的圖書館電腦上并未留存這些文件。
希斯羅機場調查人員確認,數據遺失是因機場某初級員工安全培訓師在上下班途中弄丟了存有數據的U盤。
事件發生后,希思羅機場雇傭了第三方專家監視暗網和互聯網,找尋被泄數據在網上售賣的跡象。截至目前,這些信息似乎尚未在網絡上售賣。
但ICO還是因機場數據安全操作的缺陷而開出了大額罰單。
缺乏技術手段阻止員工上傳敏感數據到可移動設備,機場不同區域間的同事用希斯羅發放的個人數據U盤在不同地點和設備間轉移文件。
機場也無法說明過去是否有個人數據被傳到了外部設備上。
盡管機場內網上建議“只在必要的時候將敏感文件傳入可移動媒體”,以及“保證可移動媒體的安全”,ICO還是認為該操作不足以確保員工知道機場的安全策略。
調查后希斯羅機場才發現,其6500名員工中僅2%接受過數據保護培訓,而涉事員工并沒有包含在培訓范圍內。
因此, ICO認為希斯羅機場的個人數據保護措施因技術和組織上的失敗而存在缺陷。
具體來說,機場沒能防止員工下載數據到未授權未加密的載體上;沒能阻止員工從機場系統中移走數據;沒有記錄或控制存儲個人數據的設備數量;也沒有提供足夠的數據保護及信息安全員工培訓。
ICO的信息安全專員有權開出最高50萬英鎊的罰單。
《星期日鏡報》報告原文地址:
https://www.mirror.co.uk/news/uk-news/terror-threat-heathrow-airport-security-11428132