https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

NASA又傳員工筆電遭竊 至少萬筆個資外洩

2012 / 11 / 26
編輯部整理
NASA又傳員工筆電遭竊  至少萬筆個資外洩

日前美國NASA(美國國家航空暨太空總署)因為一名員工未加密的筆電遭竊,導致至少一萬筆個資外洩,為了避免類似情況再度發生,NASA下令內部所有筆電都必須加密,否則不准帶出NASA。

該起事件發生於10/31,NASA某位員工將筆電放在車內,雖然車子上了鎖,但依舊被偷走,該筆電硬碟中包含NASA員工、承包商等個人資料,雖然電腦使用了開機密碼鎖的保護機制,但是硬碟並沒有加密,電腦中某些特定檔案也未遵循NASA規範進行加密,另外,還有一些放在車上的NASA內部文件也同時被偷走。

NASA副署長Richard Keegan Jr.透過電子郵件向員工說明該起事件,並呼籲所有員工引以為誡,根據NASA現階段評估,至少有1萬人受到影響,但實際受影響人數應該更高。NASA說明,由於外洩的資料必須同時進行電子和人工的驗證分析,預估要60天左右才能確認所有受影響的人數。

為了防止被竊的資料遭惡意使用,NASA提醒所有員工特別留意可能會收到造假的訊息、電話、email。舉例來說,對方可能會宣稱自己是來自NASA或其他官方單位的人員,要求提供個人資訊或進行資料核對。

另一方面,為了避免資料外洩事件再度發生,NASA下令要求所有員工的筆電必須在12/21之前完成加密保護,其中,需要在家工作的員工必須率先執行,否則不能將電腦帶離NASA。另外,也要求員工不能將機密檔案存在手機、平板和其他個人行動裝置上。

除此之外,所有員工也被要求重新檢視電腦中的檔案,以確認涉及特定主題的資訊是否確實做好加密,並清除那些不需要的機密檔案。受管制的檔案包括,所有與個人識別資訊(Personally Identifiable Information,PII)有關的資料、國際武器貿易條例(International Traffic in Arms Regulations,ITAR)、美國出口管理條例(Export Administration Regulations)、採購和人力資源資訊,以及其他敏感而非機密(Sensitive but unclassified,SBU)的資料。另一方面,Keegan表示,資訊長也正在評估是否需要在政策和流程上進行任何調整和改變。

Gartner分析師John Pescatore表示,NASA會發生這樣的事情一點都不令人意外,在過去幾年,NASA就發生過數起類似案件,報告顯示,在2009年4月到2011年4月的兩年期間,該組織中遺失或被竊取的行動運算裝置,數量竟高達48台。今年三月時,NASA也發生一起因筆電遺失而導致的資料外洩事件。

外,在所有聯邦政府單位的筆電中,83%已經使用了加密工具,而NASA行動裝置的加密比例卻是其中最低的,根據白宮管理及預算辦公室(White House Office of Management and Budget)在今年三月公布的一份報告顯示,NASA的行動裝置只有41%符合聯邦資訊安全管理法(Federal Information Security Management Act,FISMA)的加密要求。

Pescatore進一步分析,NASA組織分布較為分散,每個實驗室都有獨立的IT運作和標準,因此加深了企業安全方案推動的難度,而這可能就是NASA在安全措施上落後其他單位的主要原因。 

NASA的經驗或許可以做為台灣企業的參考,在思考如何應用行動裝置提昇作業效率、甚至擁抱BYOD浪潮的現今,確保資訊安全顯然是第一件要做的功課。