Скомпрометированная информация хранилась в незашифрованном виде на ноутбуке, который злоумышленники похитили из серверной Northgate Arinso. Примечателен сам факт того, как информация попала на мобильный компьютер. Данные туда поместили в целях тестирования. Однако согласно правилам Northgate Arinso в таких случаях можно использовать только обезличенные сведения и ограниченного числа людей. Вместо этого, на ноутбуке оказались данные более чем 100 тыс. человек, имена, адреса, сведения о доходах, номера национального страхования. Кроме того, записи о 18 тыс. человек включали и банковскую информацию.
Согласно подписанным Verity Trustees обязательствам, компания должна пересмотреть применяемые для обеспечения информационной безопасности процедуры. В частности, должно быть введено обязательное шифрование ноутбуков и мобильных носителей.
"Утечки информации по вине субподрядчиков являются достаточно распространенными, - сообщил Тарас Пономарёв, партнер консалтингового бюро "Практика Безопасности". – Соответственно, взаимоотношениям с подрядчиками должно быть уделено особое внимание в корпоративных политиках безопасности. Необходимо предусмотреть как технические меры защиты при передаче данных, так и юридические моменты – соглашения о неразглашении и т.п.".
