全国人口数据泄露 瑞典只罚当事人半月工资
E安全7月25日讯 瑞典政府泄露了数百万公民的个人敏感信息,堪称瑞典政府迄今为止最大的纰漏,然而令人更匪夷所思的是,涉事官员只被罚款半个月薪水,即7万瑞典克朗(约合人民币5.75万元)。
这起泄露事件发生在2015年9月,当时瑞典交通局(Swedish Transport Agency,STA)决定将数据库和其它IT服务的管理外包给他国企业(捷克共和国的IBM公司和塞尔维亚的NCR公司)。
瑞典政府不再雇用IT技术人员,转而将整个STA数据库上传至这两家公司的服务器,这两家公司的特定员工具有访问STA数据库的所有权限。
外国公民可获取瑞典哪些数据?
2016年3月,瑞典特勤局(Swedish Secret Service)意识到该问题,并开始展开调查。特勤局警告其它政府机构,STA为了加速过渡到新IT系统而绕过必要的安全检查,最终导致未经授权的外国公民控制了他们的IT系统。
据瑞典几家媒体报道,泄露的数据包括:
瑞典所有驾驶执照数据;
瑞典证人重新安置计划的所有个人信息;
瑞典精英军事单位的个人资料;
瑞典战机飞行员个人资料;
瑞典飞行员和空中管制员的个人资料;
一份警察登记册中的所有瑞典公民资料;
所有瑞典政府和军用车辆的详细信息;
瑞典道路与交通基础设施详情。
所有这些资料目前由捷克共和国和塞尔维亚的公民管理,这两国有些政权已日渐支持反欧盟和亲俄议程。此外,IBM还允许11个其它国家的承包商访问该数据库。
私有互联网访问隐私负责人和首个海盗党(Pirate Party)的创始人里克·法尔科维奇表示,这起泄露丑闻涉及海量数据,表现出的管理人员对敏感信息的马虎和疏忽,但这实则是犯罪行为。
对过失人员的处罚标准是什么?
遭遇如此重大的数据泄露事件之后,STA局长玛丽亚·奥格伦引咎辞职,瑞典当局于2016年对她提出指控。本月初,瑞典法院认为她犯有过失罪,但最终的判决荒唐到令许多瑞典公民匪夷所思,因为这名负责人受到的处罚仅仅是半个月薪水。
法尔科维奇对此判决的评论是,考虑到当局会“互帮互助”,普通民众面对这种情况可能会被判处终身监禁,他们一定会做非常可怕的事情,不仅仅是得到有罪的判决。
瑞典政府现在正处于危机之中。国防官员目前正在调查这起泄露事件的范围,以及IBM或NCR员工是否有权访问欧盟的STESTA内网或瑞典政府安全内网(SGSI)。目前 STA 数据库仍由这两家外国公司管理。
安全管理中应该注意哪些?
这次事件可以看出瑞典的安全管理并不十分规范。
政府、企业等在安全事件发生之前,是否进行了“定性”以及“定量”的安全事件划分,安全责任划分,是否有相应的追责制度?在这些的基础上,一旦出了安全事件,在分析安全事件原因,追溯安全责任的时候,才能做到公平公正,在一定程度上也能促进安全相关管理人员更加恪尽职守。
政府、企业可根据信息系统的“业务”特点,划分安全事件等级,以及相关等级的判断标准,这不仅在责任追溯过程中能够“量化安全责任惩罚力度”,也能在安全事件响应的时候起到积极的作用。
在中国信息安全等级保护《信息安全等级保护管理办法》等文件中强调,各类机构安全管理讲究“谁建设、谁负责、谁使用”原则,安全管理机构划分安全领导层责任,以及安全管理员、网络管理员、系统管理员、数据库管理员等角色,划分职责内容,包括最小权限划分等,以做到各司其职,各类重要活动有相关文件或签名,做到有据可查。如果涉及第三方机构,还应在相关合同和要求中明确相关责任。
瑞典此次政府系统泄露的公民的数据信息,除了自身管理机构存在相关安全管理不完善的情况,也可能对第三方托管机构的安全管理缺乏要求。
E安全推荐文章
官网:www.easyaq.com
2017年7月