捡到U盘的人将U盘插到了当地图书馆的电脑上,发现了约1000份机场文件,都是没有加密或缺乏口令保护的。
一周后,《星期日镜报》收到了此人提交的U盘,报道称该设备含有2.5GB数据,包括希思罗机场反恐安防地图、视频、安全流程文档等。
文件还详细描述了英国女皇出入该机场的路线、进入限制区域所需的ID类型、监控摄像头和逃生通道的地图,以及政要和外国高官使用的路线。
虽然所泄数据属于机场和国家安全高度敏感信息,但ICO聚焦的重点却是U盘数据中那1%的个人信息。
关键文件是一段约3秒钟的视频片段,显示了活页夹中的一页文件,暴露了某欢迎队伍中10个人的详细信息,还有12-50位希斯罗航空安全人员的信息。
视频中暴露的信息包括姓名、生日、登记号码、国籍、护照号及有效期、职位,还有手机号。
ICO称接受了希思罗机场有关该信息不容易被看清的辩解,但专员考虑到“动机充分的人可以从截图之类更稳定的形式定位并抽取这些数据。”
《星期日镜报》联系了希思罗机场并将U盘交还给了机场,但拒绝上交复制的数据副本。
据ICO透露,警方已证实用于查阅该U盘文件的图书馆电脑上并未留存这些文件。
希斯罗机场调查人员确认,数据遗失是因机场某初级员工安全培训师在上下班途中弄丢了存有数据的U盘。
事件发生后,希思罗机场雇佣了第三方专家监视暗网和互联网,找寻被泄数据在网上售卖的迹象。截至目前,这些信息似乎尚未在网络上售卖。
但ICO还是因机场数据安全操作的缺陷而开出了大额罚单。
“
缺乏技术手段阻止员工上传敏感数据到可移动设备,机场不同区域间的同事用希斯罗发放的个人数据U盘在不同地点和设备间转移文件。
机场也无法说明过去是否有个人数据被传到了外部设备上。
尽管机场内网上建议“只在必要的时候将敏感文件传入可移动媒体”,以及“保证可移动媒体的安全”,ICO还是认为该操作不足以确保员工知道机场的安全策略。
调查后希斯罗机场才发现,其6500名员工中仅2%接受过数据保护培训,而涉事员工并没有包含在培训范围内。
因此, ICO认为希斯罗机场的个人数据保护措施因技术和组织上的失败而存在缺陷。
具体来说,机场没能防止员工下载数据到未授权未加密的载体上;没能阻止员工从机场系统中移走数据;没有记录或控制存储个人数据的设备数量;也没有提供足够的数据保护及信息安全员工培训。
ICO的信息安全专员有权开出最高50万英镑的罚单。
《星期日镜报》报告原文地址:
https://www.mirror.co.uk/news/uk-news/terror-threat-heathrow-airport-security-11428132
本文转自安全牛,nana
原文链接:https://mp.weixin.qq.com/s/C3T77WOK5S-Y2ecfB0NCow