E安全7月25日讯 瑞典政府泄露了数百万公民的个人敏感信息，堪称瑞典政府迄今为止最大的纰漏，然而令人更匪夷所思的是，涉事官员只被罚款半个月薪水，即7万瑞典克朗（约合人民币5.75万元）。

这起泄露事件发生在2015年9月，当时瑞典交通局（Swedish Transport Agency，STA）决定将数据库和其它IT服务的管理外包给他国企业（捷克共和国的IBM公司和塞尔维亚的NCR公司）。

瑞典政府不再雇用IT技术人员，转而将整个STA数据库上传至这两家公司的服务器，这两家公司的特定员工具有访问STA数据库的所有权限。

据瑞典几家媒体报道，泄露的数据包括：

• 瑞典所有驾驶执照数据；

• 瑞典证人重新安置计划的所有个人信息；

• 瑞典精英军事单位的个人资料；

• 瑞典战机飞行员个人资料；

• 瑞典飞行员和空中管制员的个人资料；

• 一份警察登记册中的所有瑞典公民资料；

• 所有瑞典政府和军用车辆的详细信息；

• 瑞典道路与交通基础设施详情。

所有这些资料目前由捷克共和国和塞尔维亚的公民管理，这两国有些政权已日渐支持反欧盟和亲俄议程。此外，IBM还允许11个其它国家的承包商访问该数据库。

私有互联网访问隐私负责人和首个海盗党（Pirate Party）的创始人里克·法尔科维奇表示，这起泄露丑闻涉及海量数据，表现出的管理人员对敏感信息的马虎和疏忽，但这实则是犯罪行为。

法尔科维奇对此判决的评论是，考虑到当局会“互帮互助”，普通民众面对这种情况可能会被判处终身监禁，他们一定会做非常可怕的事情，不仅仅是得到有罪的判决。

瑞典政府现在正处于危机之中。国防官员目前正在调查这起泄露事件的范围，以及IBM或NCR员工是否有权访问欧盟的STESTA内网或瑞典政府安全内网（SGSI）。目前 STA 数据库仍由这两家外国公司管理。

政府、企业等在安全事件发生之前，是否进行了“定性”以及“定量”的安全事件划分，安全责任划分，是否有相应的追责制度？在这些的基础上，一旦出了安全事件，在分析安全事件原因，追溯安全责任的时候，才能做到公平公正，在一定程度上也能促进安全相关管理人员更加恪尽职守。

政府、企业可根据信息系统的“业务”特点，划分安全事件等级，以及相关等级的判断标准，这不仅在责任追溯过程中能够“量化安全责任惩罚力度”，也能在安全事件响应的时候起到积极的作用。

在中国信息安全等级保护《信息安全等级保护管理办法》等文件中强调，各类机构安全管理讲究“谁建设、谁负责、谁使用”原则，安全管理机构划分安全领导层责任，以及安全管理员、网络管理员、系统管理员、数据库管理员等角色，划分职责内容，包括最小权限划分等，以做到各司其职，各类重要活动有相关文件或签名，做到有据可查。如果涉及第三方机构，还应在相关合同和要求中明确相关责任。

瑞典此次政府系统泄露的公民的数据信息，除了自身管理机构存在相关安全管理不完善的情况，也可能对第三方托管机构的安全管理缺乏要求。