Муниципалитет разослал сторонним компаниям по электронной почте персональные данные сотен граждан

Муниципалитет разослал сторонним компаниям по электронной почте персональные данные сотен граждан


Муниципалитет города Лестер (Великобритания) осуществил рассылку по электронной почте файла с именем «Taxi Tender Live v 3» в формате электронной таблицы, размером 23 Мб. Получателями рассылки выступили 27 компаний-перевозчиков (такси).

Изначально предполагалось организовать тендер на перевозку граждан с ограниченными возможностями (инвалидов-колясочников), однако, в тендерный документ попали персональные данные инвалидов, включая детей.

Через сутки, когда обнаружился факт утечки, муниципалитет предпринял поистине гениальное решение – разослать по тем же получателям требование не открывать и не читать первое письмо, немедленно стереть его и даже удалить из папки «Удаленные». А на случай, если получатели все же успели открыть и прочитать «запретное» письмо, их предупредили об ответственности за разглашение личной информации.

На самом деле, это классический случай случайной утечки информации, когда нет злого умысла, а есть глупость и не аккуратность в обращении с данными. С такими случаями утечек давно и успешно справляются средства предотвращения утечек данных (DLP). Во-первых, DLP-продукт проверил бы содержимое электронного письма, «залез» вовнутрь файла электронной таблицы и обнаружил бы там персональные данные. Во-вторых, DLP-средство посмотрело бы список получателей электронного письма и обнаружило бы там внешние адреса, не имеющие доступа к персональным данным. Ну и в конце концов, DLP-продукт запретил бы отсылку такого письма, сообщив о нарушении. Разумеется, в данном случае речь идет о настоящей DLP-системе, которая способна блокировать передачу данных, а не только оповещать и осуществлять расследования уже случившихся утечек.

Автор: Владимир Безмалый


Alt text

Владимир Безмалый

О безопасности и не только