【星島綜合報道】聯邦隱私監管機構的調查發現,金融機構德信集團(Desjardins Group)早前被曝發生的數據泄露事件是由一系列技術和行政管理漏洞導致,受影響的人數接近970萬,是本國金融服務行業迄今為止最大宗同類事件,
據加通社報道,聯邦私隱專員塞里恩(Daniel Therrien)周一發佈報告稱,德信集團對於保護其受託管理的敏感個人資料,未給予足夠的關注度。此次數據泄露事件的規模之大,令德信的客戶和成員以及所有國民感到震驚。
塞里恩的調查發現,在至少26個月的時間裏,一名惡意為之的員工竊取了德信客戶的敏感個人資料,這些資料從直接或間接購買或接受該公司服務的客戶那裡收集,最初存儲在兩個數據庫中,涉事員工只能有限訪問。但是,其他員工在工作中會定期將這些資料複製到一個共享驅動器上。結果導致通常沒有必要權限或需求去訪問某些機密數據的員工,也可以訪問這些數據。
塞里恩指,像德信這樣規模的公司,沒有能力及時阻止這種泄露資料行為是不能接受的。泄露行為發生在超過兩年的時間裏,德信一直沒有意識到,直到公司接到警方通知。塞里恩表示,對這一違規行為的調查,揭示了來自企業內部的威脅所帶來的風險,無論員工是否故意為之。
調查顯示,德信未履行聯邦有關公司治理隱私法所規定的的幾項義務,包括未能確保恰當執行其有關個人資料管理的政策和程序,且其中一些是不充分的;缺乏對公司數據庫及目錄的訪問控制和數據隔離;員工關於公司客戶個人資料敏感度的培訓和意識不足;沒有關於定期銷毀個人資料的適當程序。
塞里恩說,德信現已接受了一系列建議,以改善信息安全性和對個人數據的保護。該公司承諾每6個月提供一次進度報告,並聘請外部審計員評估及認證其計劃。塞里恩對德信在事件發生後向受影響客戶提供的補救措施感到滿意。
德信未就該調查報告內容接受加通社訪問。 該公司在一份聲明中表示,將在未來幾年內致力於創建其所謂的「數字身份平台」,該平台將允許更安全地共享信息,並令客戶對自己的數據有更多的控制權。
V18
