28.05.06. -- Украдены данные о 26,5 миллионах американских ветеранов
Материал из Egg.elrussia.ru.
Мария Ефремова
В США воры украли из дома госслужащего базу данных на 26,5 млн. ветеранов, сообщил представитель американского управления по делам бывших военных Джим Николсон. По его словам, сотрудник управления без соответствующего разрешения забрал домой данные о ветеранах, находящиеся на электронном носителе, откуда они и были похищены. Как отмечает Дж. Николсон, воры, по всей видимости, случайно взяли базу данных вместе с другими вещами, похищенными из дома госслужащего. Начато расследование и поиск пропавшей информации. Как подчеркнул Дж. Николсон, в базе данных не находилась финансовая и медицинская информация о бывших военных.
Данный инцидент показывает, насколько ненадежным может быть хранение данных в электронных архивах, в том случае если не обеспечены необходимые меры сохранности этих архивов. Необходимые для обеспечения сохранности электронных архивов меры можно разделить на две группы: (1) связанные с «человеческим фактором» и (2) технические меры.
К первой группе относятся установление правил обращения с архивами для сотрудников. Государственным служащим следует тщательно объяснять, какую опасность представляет собой переход больших массивов информации с ограниченным режимом доступа к третьим лицам. Правила обращения с базами данных должны также ограничивать сотрудников в пользовании служебными базами данных вне рабочего места, так как такое использование повышает опасность несанкционированного доступа. Все это меры психологического, а не технического характера, призванные создать у чиновников отношение к информации ограниченного доступа как к чему-то особо ценному и полезному. Так если бы американский чиновник из приведенного примера относился к информации о ветеранах должным образом, то наверняка он не стал бы рисковать базой и брать ее домой.
Ко второй группе мер, применимых в данном случае, можно отнести, например, создание таких технических условий использования служебных баз данных, что использование их вне рабочего места было физически невозможным. Например, база данных находится в служебном стационарном компьютере, у которого ограничены возможности копирования информации на внешние носители, также как ограничена возможность поделиться этой информацией через Интернет.
Важное значение имеет также идентификация пользователя базы данных, ограниченных в использовании. Ведь если информация действительно ограничена в доступе обоснованно и разумно, то хорошо бы режим ограниченного доступа сохранять. Существуют разные варианты идентификации. Например, можно дать каждому пользователю информационной системы «ключ», например, пароль. Однако недостатком такого средства идентификации является возможность передачи «ключа» постороннему третьему лицу. Возможна идентификация личности пользователя, например, с использованием биометрических данных пользователя. Этот способ идентификации более совершенен, так как при его использовании возможности неавторизованного использования ограниченной в доступе базы данных третьими лицами гораздо более ограничены.
