image

Heathrow krijgt boete voor verlies onversleutelde usb-stick

maandag 8 oktober 2018, 14:17 door Redactie, 4 reacties

De Britse luchthaven Heathrow moet een boete van omgerekend 136.000 euro betalen wegens het verlies van een onversleutelde usb-stick met persoonlijke gegevens. Een medewerker van de luchthaven verloor de usb-stick vorig jaar, die vervolgens in oktober 2017 door iemand in een bibliotheek werd gevonden.

Op de onversleutelde usb-stick stonden meer dan duizend bestanden, waaronder een trainingsvideo waarin de namen, geboortedata, paspoortnummers en details van een aantal beveiligingsmedewerkers van Heathrow werden genoemd. Verder bevatte de datadrager verschillende documenten die als "vertrouwelijk" waren aangemerkt. Het ging onder andere om tijden van politiepatrouilles en routes en veiligheidsmaatregelen voor ministers en buitenlandse hoogwaardigheidsbekleders. Ook bevatte de usb-stick informatie over een ultrasoon radarsysteem waarmee de landingsbaan en omheining worden gescand. De vinder van de usb-stick deelde die met de Sunday Mirror, die de gegevens kopieerde.

Training

Naar aanleiding van het datalek voerde de Britse privacytoezichthouder een onderzoek uit. Dat liet zien dat slechts twee procent van de 6500 luchthavenmedewerkers een databeschermingstraining hadden gevolgd. Ook bleek dat verwijderbare media op grote schaal werd gebruikt, ook al was dit in strijd met het beleid van Heathrow. Daarnaast waren er geen effectieve maatregelen getroffen om te voorkomen dat persoonlijke data op ongeautoriseerde en onversleutelde usb-sticks werd gekopieerd.

"Databescherming had hoog op de agenda van Heathrow moeten staan. Maar ons onderzoek liet een reeks aan tekortkomingen zien in bedrijfsstandaarden, training en visie die anders aangeven. Databescherming is een zaak van het bestuur en het is van essentieel belang dat bedrijven het beleid, procedures en training hebben om te voorkomen dat de persoonlijke informatie die aan hen is toevertrouwd wordt blootgesteld", aldus Steve Eckersley van de ICO.

Reacties (4)
08-10-2018, 16:00 door Anoniem
Slecht van de systeembeheerder dat hij USB sticks niet heeft geblokkeerd.
09-10-2018, 08:59 door Anoniem
Door Anoniem: Slecht van de systeembeheerder dat hij USB sticks niet heeft geblokkeerd.
Ja, want er is ook slechts 1 systeembeheerder, die per definitie mannelijk is en alle systemen op Heathrow beheert.

Het probleem hier ligt binnen de IT Security afdeling aldaar. Er wordt onvoldoende geforceerd bepaalde processen te volgen. Deze fout is puur organisatorisch. Als Heathrow besluit iedere medewerker uit te rusten met een geregistreerde DatAshur versleutelde USB stick, zal dit probleem niet zomaar meer voorkomen en wordt de wildgroei van ongeautoriseerde USB sticks ingeperkt.
09-10-2018, 09:39 door Anoniem
Door Anoniem: Slecht van de systeembeheerder dat hij USB sticks niet heeft geblokkeerd.

Misschien had die dat wel, maar kreeg de systeembeheerder daarna op z'n donder van de directeur die z'n usb stick niet meer kon gebruiken...
09-10-2018, 13:25 door Anoniem
De vinder van de usb-stick deelde die met de Sunday Mirror, die de gegevens kopieerde.

En dat is dan weer wel legaal, die informatie gaan delen met derden als vinder ?

Slecht van de systeembeheerder dat hij USB sticks niet heeft geblokkeerd.

Management is verantwoordelijk voor beveiligingsbeleid. Systeembeheerders moeten het enkel informeren. Als systeem beheerder bepaal je in principe *niet* of je collega's al dan niet gebruik mogen maken van USB devices.

Het lijkt soms wel alsof veel mensen denken dat je als uitvoerend IT-er het beleid bepaalt in een bedrijf. Je adviseert, en je voert uit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.