کم‌کاری‌های دژردن، عامل افشای اطلاعات مشتریان

گزارش ناظر فدرال حریم خصوصی نشان می‌دهد مجموعه‌ای از مشکلات فنی و اجرایی،‌ عامل اصلی لو رفتن اطلاعات میلیون‌ها مشتری موسسه مالی دژردن شد.

یه گزارش سی‌تی‌وی، دنیل ترین در گزارشی که امروز (دوشنبه) منتشر کرد گفت که دژردن به اندازه کافی به موضوع حفاظت از اطلاعات حساس شخصی کاربران توجه نکرد. گفتنی است در ماجرای افشای اطلاعات مشتریان دژردن، برخی داده‌های شخصی ۹/۷ میلیون کانادایی توسط یک کارمند متخلف این مجموعه به سرقت رفت. این کارمند متخلف حداقل به مدت ۲۶ ماه اقدام به جمع‌آوری داده‌های حساس فردی مشتریان دژردن کرده بود. این اتفاق بزرگ‌ترین افشای اطلاعات خصوصی در نوع خود در کاناداست.

دنیل ترین در نشست رسانه‌ای امروز اعلام کرد که کانادایی‌ها از یک موسسه مالی بزرگ مثل دژردن انتظار دارند به طور کامل از قوانین و مقررات مرتبط با حفاظت از حریم خصوصی مشتریان پیروی کند.

نام، نام خانوادگی، تاریخ تولد، شماره بیمه اجتماعی، نشانی، تلفن، نشانی ایمیل و نیز سابقه تراکنش‌های این مشتریان از جمله داده‌هایی بود که از موسسه دژردن سرقت شد.

ناظر فدرال حریم خصوصی می‌گوید این داده‌ها هر کدام به تنهایی حساس هستند و ترکیب آنها با همدیگر می‌تواند زمینه را برای انجام انواع کلاهبرداری و سرقت هویت افراد آماده کند.

این داده‌ها در سرورهایی در دو نقطه متفاوت نگهداری می‌شد و البته ظاهرا این کارمند متخلف، دسترسی محدودی به آنها داشت. با این وجود، برخی دیگر از همکارانش هر از چند گاهی به کپی این داده‌ها در یک درایو مشترک بین چندین رایانه می‌پرداختند. در نتیجه، حتی کارمندانی که امکان دسترسی به سرورها را نداشتند نیز می‌توانستند به این اطلاعات دست یابند.

ناظر فدرال حریم خصوصی می‌گوید دژردن پیش از بروز مشکل، موفق شد این ضعف‌ها را شناسایی کرده و حتی برنامه‌ای هم برای رفع آن تدوین کرد. با این وجود، اجرای این برنامه در اولویت اصلی نبود. همین مساله سبب شد اجرای آن با تاخیر روبرو شود و در نتیجه، دسترسی غیرمجاز به داده‌ها همچنان  ادامه یابد. این نشت اطلاعاتی دو سال پیش از آنکه درژدن آن به اطلاع مقامات پلیس برساند روی داد.

بررسی ناظر فدرال حریم خصوصی نشان داد که دژردن برخی از الزامات قانونی مندرج در قوانین فدرال حفظ حریم خصوصی مشتریان را به درستی اجرا نکرده بود.

برخی دیگر از یافته‌های آقای ترین به شرح زیر است:

• دژردن برخی سیاست‌ها و رویه‌های مرتبط با موضوع مدیریت اطلاعات شخصی را به درستی اجرا نکرد.
• کنترل دسترسی و نیز جداسازی دیتابیس‌ها و دایرکتوری‌های شرکت با نواقصی همراه بود.
• آموزش کارکنان و آگاهی آنها از جزئیات ضروری، به اندازه کافی نبود. این در حالی است که ماهیت کار با اطلاعات فردی از حساسیت بالایی برخوردار است.
• دژردن هیچ رویه مناسبی برای حذف دوره‌ای اطلاعات فردی مشتریانش نداشت.

البته آقای ترین گفته که دژردن موافقت خود را برای اجرای توصیه‌هایی به منظور بالا بردن امنیت اطلاعات و حفاظت از داده‌های شخصی اعلام کرده است. این موسسه مالی همچنین متعهد شده هر شش ماه یک بار گزارش پیشرفت خود در این زمینه را ارایه دهد. بهره‌گیری از کارشناسان بیرون‌سازمانی برای ارزیابی روند پیشرفت فرآیند افزایش امنیت اطلاعات از دیگر اقدامات دژردن اعلام شده است.

ناظر فدرال حریم خصوصی می‌گوید که از روندی که دژردن برای حمایت از مشتریانی که اطلاعات‌شان فاش شده در پیش گرفته رضایت دارد. او می‌گوید این اقدامات فراتر از کارهایی است که سازمان‌های دیگر در موقعیت‌های مشابه انجام می‌دهند.

در این میان، مدیر کمیسیون دسترسی اطلاعات کبک می‌گوید پیامدهای این بحران باید همه سازمان‌ها را متقاعد کند هر چه زودتر اقدامات درستی را برای جلوگیری از رویدادهایی مشابه به کار بندند. او گفت که درژدن در این زمینه کوتاهی کرد و همین سبب شد بزرگ‌ترین بحران در زمینه افشای اطلاعات خصوصی مردم در استان کبک رقم بخورد.