Vrouw ontslagen na verlies USB-stick met patiëntgegevens
Een Amerikaanse vrouw die bij een zorgverlener werkte is ontslagen nadat ze een USB-stick met de medische dossiers van 6.000 mensen kwijtraakte. "Het was een fantastische werknemer", aldus Jim Clair, de CEO van Goold Data Systems, dat apotheekkosten van verschillende Amerikaanse staten verwerkt.
Op de USB-stick stonden namen, leeftijden en medicijngebruik van 6.000 mensen uit Utah. De vrouw had problemen met het uploaden van een bestand dat het Ministerie van Gezondheid van Utah had opgevraagd en besloot dat het eenvoudiger was om het op een USB-stick te plaatsen.
Iets wat in strijd met het bedrijfsbeleid is, hoewel ze dit volgens de CEO niet besefte. Onderweg van Salt Lake City naar Denver en vervolgens Washington raakte de vrouw de USB-stick kwijt. "Mogelijk ligt die bij het vuilnis en wordt die uiteindelijk vernietigd, maar het had in de eerste plaats nooit mogen gebeuren", laat Clair weten.
Daar staat wel dat ze wellicht niet wist dat dat tegen het beleid was. Dat zou moeten zijn, "ze heeft 12 mei een security training gehad waarin haar het beleid is uitgelegd en ze wist dus dat dit niet mocht (op straffe van ontslag)"
Overigens heeft die Jim Clair ook nog wat te verantwoorden, want een company policy die niemand snapt heeft niemand wat aan. Waarom wist die werknemer dit niet en waarom was de data niet versleuteld? Ook al wist niet, of niet makkelijk genoeg, of wat?
Het blijft jammer om te zien dat bedrijven/overheid die met privacy gevoelige gegevens / strategische gegevens werken, te weinig doen aan het voorkomen van fouten. Het moet m.i. niet mogelijk zijn om dit soort gegevens op een gewone stick te laden, dit is de fout van het bedrijf!
Ik denk aan het afsluiten van alle USB poorten, alleen werken met versleutelde opslag media (inclusief USB sticks), alles via terminals, regelmatige trainingen in beveiliging maar ook herkennen van phishing etc., blokkeren van privé email (hotmail, gmail) en cloud opslag enz enz enz.
Het gemak van de gebruiker zou nooit belangrijker mogen zijn dan de bescherming van gegevens.
Tja, fijn zo'n baas. Het is immers primair de werkgever die fout is, door toe te staan dat dergelijke informatie op non-encrypted USB sticks terecht kan komen. Met de juiste security controls had dat voorkomen kunnen worden.
"Daar staat wel dat ze wellicht niet wist dat dat tegen het beleid was."
Security awareness is mooi, maar je kunt dit soort zaken ook technisch afdwingen. Een kwestie van goede endpoint security.
Klink misschien hard maar we kunnen alles wel afschermen door de techniek aan te passen maar het blijft een feit dat de mensen zelf verantwoordelijk zijn voor de security binnen een bedrijf, techniek is zeker niet de eerste oplossing om dit te voorkomen.
Wel lastig als je een keer een bestand juist niet encrypted wil opslaan, want dat kan dan niet
Van Dale:
lek·ken (werkwoord; lekte, heeft gelekt) een geheim (opzettelijk) laten uitlekken.
'opzettelijk' tussen haakjes begint overigens aan betekenis te verliezen. M.a.w. 'Lekken' wordt meer en meer als met (boze) opzet bedoeld. Hiervan is in dit geval geen sprake.
Uiteraard is het niet goed wat de werkneemster heeft gedaan maar om haar dan 'per direct' op straat te zetten bewijst eigenlijk wel hoe paranoïde van de pot gerukt we aan het worden zijn.
Waarom zou je dan niet de beheerder ontslaan, die niet zorgt voor de implementatie van goede security controls die dergelijke incidenten kunnen voorkomen, of het lid van het management team dat daarvoor vanuit management oogpunt verantwoordelijk is ?
Een bedrijf die zorgt dat dit soort zaken op orde zijn kan veel van dit soort incidenten voorkomen, en werknemers tegen dergelijke fouten in bescherming nemen. Draagt de werkgever geen verantwoordelijkheid ?
"Dan is ontslag een onzinnige actie. Als ze zich nu de pleuris schrikt van de ophef doet ze het voortaan goed (en ze was kennelijk een heel goede medewerker, dus aan betrokkenheid en verantwoordelijkheidsbesef zal het niet ontbreken). Haar opvolger heeft dat lesje waarschijnlijk nog niet geleerd zodat de kans op herhaling groter is dan bij haar."
100% mee eens, ontslag is de gemakkelijkste weg. Een goed gesprek met de medewerker -en- kijken naar ''lessons learned'' om herhaling als organisatie te voorkomen door de juiste maatregelen te treffen lijkt mij nuttiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
