Крупная утечка в Великобритании: украден ноутбук с данными 110 тыс. человек

Британское Управление уполномоченного по защите информации (Information Commissioner's Office, ICO) провело расследование по делу об утечке персональных 110 тыс. человек - клиентов компания Verity Trustees из Лидса. Несмотря на то, что прямым виновником инцидента является сторонний подрядчик, компания Northgate Arinso, основная тяжесть ответственности ляжет именно на Verity Trustees. Как стало известно компании "Практика Безопасности", в настоящий момент Verity Trustees уже взяла на себя письменные обязательства изменить текущие процедуры безопасности с тем, чтобы исключить подобные инциденты в дальнейшем.

Скомпрометированная информация хранилась в незашифрованном виде на ноутбуке, который злоумышленники похитили из серверной Northgate Arinso. Примечателен сам факт того, как информация попала на мобильный компьютер. Данные туда поместили в целях тестирования. Однако согласно правилам Northgate Arinso в таких случаях можно использовать только обезличенные сведения и ограниченного числа людей. Вместо этого, на ноутбуке оказались данные более чем 100 тыс. человек, имена, адреса, сведения о доходах, номера национального страхования. Кроме того, записи о 18 тыс. человек включали и банковскую информацию.

Согласно подписанным Verity Trustees обязательствам, компания должна пересмотреть применяемые для обеспечения информационной безопасности процедуры. В частности, должно быть введено обязательное шифрование ноутбуков и мобильных носителей.

"Утечки информации по вине субподрядчиков являются достаточно распространенными, - сообщил Тарас Пономарев, партнер консалтингового бюро "Практика Безопасности". - Соответственно, взаимоотношениям с подрядчиками должно быть уделено особое внимание в корпоративных политиках безопасности. Необходимо предусмотреть как технические меры защиты при передаче данных, так и юридические моменты - соглашения о неразглашении и т.п.".