گزارش ناظر فدرال حریم خصوصی نشان میدهد مجموعهای از مشکلات فنی و اجرایی، عامل اصلی لو رفتن اطلاعات میلیونها مشتری موسسه مالی دژردن شد.
یه گزارش سیتیوی، دنیل ترین در گزارشی که امروز (دوشنبه) منتشر کرد گفت که دژردن به اندازه کافی به موضوع حفاظت از اطلاعات حساس شخصی کاربران توجه نکرد. گفتنی است در ماجرای افشای اطلاعات مشتریان دژردن، برخی دادههای شخصی ۹/۷ میلیون کانادایی توسط یک کارمند متخلف این مجموعه به سرقت رفت. این کارمند متخلف حداقل به مدت ۲۶ ماه اقدام به جمعآوری دادههای حساس فردی مشتریان دژردن کرده بود. این اتفاق بزرگترین افشای اطلاعات خصوصی در نوع خود در کاناداست.
دنیل ترین در نشست رسانهای امروز اعلام کرد که کاناداییها از یک موسسه مالی بزرگ مثل دژردن انتظار دارند به طور کامل از قوانین و مقررات مرتبط با حفاظت از حریم خصوصی مشتریان پیروی کند.
نام، نام خانوادگی، تاریخ تولد، شماره بیمه اجتماعی، نشانی، تلفن، نشانی ایمیل و نیز سابقه تراکنشهای این مشتریان از جمله دادههایی بود که از موسسه دژردن سرقت شد.
ناظر فدرال حریم خصوصی میگوید این دادهها هر کدام به تنهایی حساس هستند و ترکیب آنها با همدیگر میتواند زمینه را برای انجام انواع کلاهبرداری و سرقت هویت افراد آماده کند.
این دادهها در سرورهایی در دو نقطه متفاوت نگهداری میشد و البته ظاهرا این کارمند متخلف، دسترسی محدودی به آنها داشت. با این وجود، برخی دیگر از همکارانش هر از چند گاهی به کپی این دادهها در یک درایو مشترک بین چندین رایانه میپرداختند. در نتیجه، حتی کارمندانی که امکان دسترسی به سرورها را نداشتند نیز میتوانستند به این اطلاعات دست یابند.
ناظر فدرال حریم خصوصی میگوید دژردن پیش از بروز مشکل، موفق شد این ضعفها را شناسایی کرده و حتی برنامهای هم برای رفع آن تدوین کرد. با این وجود، اجرای این برنامه در اولویت اصلی نبود. همین مساله سبب شد اجرای آن با تاخیر روبرو شود و در نتیجه، دسترسی غیرمجاز به دادهها همچنان ادامه یابد. این نشت اطلاعاتی دو سال پیش از آنکه درژدن آن به اطلاع مقامات پلیس برساند روی داد.
بررسی ناظر فدرال حریم خصوصی نشان داد که دژردن برخی از الزامات قانونی مندرج در قوانین فدرال حفظ حریم خصوصی مشتریان را به درستی اجرا نکرده بود.
برخی دیگر از یافتههای آقای ترین به شرح زیر است:
- دژردن برخی سیاستها و رویههای مرتبط با موضوع مدیریت اطلاعات شخصی را به درستی اجرا نکرد.
- کنترل دسترسی و نیز جداسازی دیتابیسها و دایرکتوریهای شرکت با نواقصی همراه بود.
- آموزش کارکنان و آگاهی آنها از جزئیات ضروری، به اندازه کافی نبود. این در حالی است که ماهیت کار با اطلاعات فردی از حساسیت بالایی برخوردار است.
- دژردن هیچ رویه مناسبی برای حذف دورهای اطلاعات فردی مشتریانش نداشت.
البته آقای ترین گفته که دژردن موافقت خود را برای اجرای توصیههایی به منظور بالا بردن امنیت اطلاعات و حفاظت از دادههای شخصی اعلام کرده است. این موسسه مالی همچنین متعهد شده هر شش ماه یک بار گزارش پیشرفت خود در این زمینه را ارایه دهد. بهرهگیری از کارشناسان بیرونسازمانی برای ارزیابی روند پیشرفت فرآیند افزایش امنیت اطلاعات از دیگر اقدامات دژردن اعلام شده است.
ناظر فدرال حریم خصوصی میگوید که از روندی که دژردن برای حمایت از مشتریانی که اطلاعاتشان فاش شده در پیش گرفته رضایت دارد. او میگوید این اقدامات فراتر از کارهایی است که سازمانهای دیگر در موقعیتهای مشابه انجام میدهند.
در این میان، مدیر کمیسیون دسترسی اطلاعات کبک میگوید پیامدهای این بحران باید همه سازمانها را متقاعد کند هر چه زودتر اقدامات درستی را برای جلوگیری از رویدادهایی مشابه به کار بندند. او گفت که درژدن در این زمینه کوتاهی کرد و همین سبب شد بزرگترین بحران در زمینه افشای اطلاعات خصوصی مردم در استان کبک رقم بخورد.