Zorgverzekeraar verliest laptops met data 840.000 klanten
Een Amerikaanse zorgverzekeraar heeft 840.000 klanten gewaarschuwd dat hun gegevens mogelijk risico lopen nadat twee onversleutelde laptops werden gestolen. De laptops werden begin november uit het hoofdkantoor van Horizon Blue Cross Blue Shield meegenomen.
De laptops waren wel met een wachtwoord beveiligd maar niet versleuteld. Op de computers stonden verschillende bestanden met klantgegevens, waaronder namen, adresgegevens, geboortedata en in sommige gevallen Social Security nummers en klinische informatie De verzekeraar laat weten dat vanwege de manier waarop de laptops geconfigureerd waren het onduidelijk is of de klantgegevens op de laptops benaderbaar zijn.
Volgens de verzekeraar zijn er geen aanwijzingen dat de laptops gestolen zijn vanwege de informatie die ze bevatten of dat de data is misbruikt. Om herhaling te voorkomen wordt het "encryptieproces" versterkt en zullen beleid, procedures en trainingen voor het personeel worden verbeterd.
Wat houdt dat in, het ''versterken van het encryptieproces''. Immers werd er geen encryptie gebruikt.
En nu ? Je laat in goed vertrouwen je persoonlijke (mogelijk medische) gegevens achter en deze belanden op straat. Je hebt geen poot om op te staan.
Wat doen verzekeringsgegevens trouwens op een laptop .
Of er wordt een export gemaakt om te gebruiken als testdata in een ander systeem (al dan niet na fatsoenlijke obfuscatie), waarna die export niet wordt verwijderd.
Er zijn talloze redenen te verzinnen waardoor gegevens die in basis op een centrale beveiligde server staan soms op laptops van medewerkers terecht komen. Dat zijn lang niet altijd hele goede redenen en zeker als gegevens voor lange tijd op zo'n systeem blijven rondslingeren loop je risico dat de spreekwoordelijke poep in de ventilator terecht komt.
En nu ? Je laat in goed vertrouwen je persoonlijke (mogelijk medische) gegevens achter en deze belanden op straat. Je hebt geen poot om op te staan.
Wat doen verzekeringsgegevens trouwens op een laptop .
Laten we hopen dat als er één schaap over de dam is er meer zullen volgen. Maar gezien de berichtgeving op deze site heb ik daar een hard hoofd in.
Wat een non antwoord, er werd geen encryptie toegepast. Wat een amateuristisch bedrijf.
Of er wordt een export gemaakt om te gebruiken als testdata in een ander systeem (al dan niet na fatsoenlijke obfuscatie), waarna die export niet wordt verwijderd.
Er zijn talloze redenen te verzinnen waardoor gegevens die in basis op een centrale beveiligde server staan soms op laptops van medewerkers terecht komen. Dat zijn lang niet altijd hele goede redenen en zeker als gegevens voor lange tijd op zo'n systeem blijven rondslingeren loop je risico dat de spreekwoordelijke poep in de ventilator terecht komt.
Ja daarom is om te beginnen de standaard policy van een goede organisatie dat iedere laptop van het bedrijf ge-encrypt is. Als het daar al mis gaat dan wil ik niet weten hoe de rest van de bedrijfscultuur en structuur in elkaar steekt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
