【星岛综合报道】联邦隐私监管机构的调查发现,金融机构德信集团(Desjardins Group)早前被曝发生的数据泄露事件是由一系列技术和行政管理漏洞导致,受影响的人数接近970万,是本国金融服务行业迄今为止最大宗同类事件,
据加通社报道,联邦私隐专员塞里恩(Daniel Therrien)周一发布报告称,德信集团对于保护其受托管理的敏感个人资料,未给予足够的关注度。此次数据泄露事件的规模之大,令德信的客户和成员以及所有国民感到震惊。
塞里恩的调查发现,在至少26个月的时间里,一名恶意为之的员工窃取了德信客户的敏感个人资料,这些资料从直接或间接购买或接受该公司服务的客户那里收集,最初存储在两个数据库中,涉事员工只能有限访问。但是,其他员工在工作中会定期将这些资料复制到一个共享驱动器上。结果导致通常没有必要权限或需求去访问某些机密数据的员工,也可以访问这些数据。
塞里恩指,像德信这样规模的公司,没有能力及时阻止这种泄露资料行为是不能接受的。泄露行为发生在超过两年的时间里,德信一直没有意识到,直到公司接到警方通知。塞里恩表示,对这一违规行为的调查,揭示了来自企业内部的威胁所带来的风险,无论员工是否故意为之。
调查显示,德信未履行联邦有关公司治理隐私法所规定的的几项义务,包括未能确保恰当执行其有关个人资料管理的政策和程序,且其中一些是不充分的;缺乏对公司数据库及目录的访问控制和数据隔离;员工关于公司客户个人资料敏感度的培训和意识不足;没有关于定期销毁个人资料的适当程序。
塞里恩说,德信现已接受了一系列建议,以改善信息安全性和对个人数据的保护。该公司承诺每6个月提供一次进度报告,并聘请外部审计员评估及认证其计划。塞里恩对德信在事件发生后向受影响客户提供的补救措施感到满意。
德信未就该调查报告内容接受加通社访问。 该公司在一份声明中表示,将在未来几年内致力于创建其所谓的「数字身份平台」,该平台将允许更安全地共享信息,并令客户对自己的数据有更多的控制权。
V18
