著名數據泄露案件系列 2000萬軍人及家屬資料丟失

著名數據泄露案件系列案例（五）：

昨天，我們講了《著名數據泄露案件系列 國家實驗室的頂級數據丟失》的故事，今天則是政府部門筆記本電腦丟失后的數據泄露事件。

背景：一家政府機構"退伍軍人事務部門（Department of Veterans Affairs）"也遇到了安全缺失問題。2006年5月，該部門確認，一臺含有大量敏感信息的便攜式電腦從一個雇員馬里蘭的家中被盜，引來了人們對VA整個數據安全策略問題的關注。

與Los Alamos一樣，VA被卷入了媒體與政治風暴。盡管一個多月后，找到了這臺被竊的筆記本電腦，兩個十多歲的小偷隨后因為盜竊行為受到了應有的處罰，但是潛在的安全缺失問題依然很嚴重。

泄露過程描述：一臺含有大量敏感信息的筆記本電腦從一個雇員馬里蘭的家中被盜，2650萬退伍兵及其家庭成員處在同樣的盜竊與犯罪風險中。

后續：當該安全危機發生時，VA部長James Nicholson在發生危機的"策略與計劃辦公室"內做了一系列的人員變動。他還安排了一個針對該部門筆記本電腦和移動設備進行的安全評論。

這位官員還對所有的VA雇員進行了計算機安全知識培訓，并且為所有需要訪問敏感數據的員工建立了檔案庫。

就在一年前，這家機構還設立了數據安全加密程序，并且與位于紐約Syracuse的系統集成商Systems Made Simple (SMS)簽訂了370萬美元的合同，對機構所有的筆記本電腦和可移動的介質進行安全升級。

SMS隨后與加密軟件專業公司GuardianEdge 和 TrustDigital結成聯盟，增加設備的安全性，保護各種設備。

兩個月前，在House Veterans Affairs Committee之前的陳述中，VAIT部門的部長Robert Howard解釋說，VA已經對18000多臺筆記本電腦進行了加密處理，并且該機構還完成了對移動設備的加密。此外，據Howard說，這個部門還購買了對睡眠中的數據進行加密的軟件。

這個官員還解釋說，VA第一次在他們603個計算機系統中對10000多個安全控制進行了測試。

盡管做了這些工作，VA還是遭到了政府安全辦公室的指責，最近其被警告說該部門可能存在其它數據破壞/丟失的風險。

9月份，在得到負責退伍兵事務的美國參議院委員會證實前，GAO人力資源與管理信息問題的總經理Valerie Melvin就曾警告說，在VA的安全策略上還存在巨大的漏洞。

她說："根據我們的評估發現，在我們檢查的四個位置上，IT設備的整體控制環境的脆弱性使國家退伍兵部門在相關設備上維護的敏感數據缺乏安全保證。"

這個官員接著說明了GAO審計人員在四個位置識別出有123臺丟失的IT設備的具體過程，其中包括53臺可能存有敏感信息的計算機。

說明：盡管自從去年的便攜計算機被竊事件發生后，關于VA數據安全性有很多的說法，但是很明顯的一點是這家機構在相關方面的工作取得了一定的進展。目前的評論是只靠加密不會解決一個根深蒂固的問題。我們的等級評定：4級（必須注意的問題）。