[Sophos] 데이터 침해, 절반 이상은 부주의 때문이라고 ICO는 전합니다.

http://www.securitytrust.co.kr/bbs/view.asp?tName=tb_sophosnews&RecID=22900

2013년 1분기에 일어난 데이터 침해 대부분은 정보가 처리되었던 방법에 있어서의 부주의 때문에 발생하였습니다.

영국 ICO(정보보호위원회, Information Commissioner's Office)에 따르면, 4월1일 ~ 6월30일 사이에 조사했던 335개 사건 중 175건이 “잘못해서 공개된(disclosed in error)” 개인 정보 때문이라고 합니다.

ICO의 Sally-Anne Poole(Enforcement group manager, Civil investigations)은 ICO 블로그에서, 그런 에러들에는 많은 이유가 있었다고 전합니다.

"잘못된 사람들에게 보내지는 이메일부터 정보까지 모두가 잘못된 정보 응답의 자유에 포함되고 있습니다."

데이터 침해를 주도했다고 하는 다른 영역은 문서 분실이나 도난, 잘못된 폐기 54건, 하드웨어 분실이나 도난, 잘못된 폐기 31건을 포함하고 있습니다.

따라서 여러분이 웹사이트에 데이터 업로드를 할 때 오류가 나는 것(7건)까지, 부주의가 사실 조사된 침해의 80% 가까이를 차지한다고 나는 주장합니다.

하지만, 그것은 사업의 고객 대면 부문에 있는 직원만을 비난하는 것은 아닙니다. 내가 전에 ICO 프레스 사무실에 전화 했을 때 그들이 알려준 것처럼, 27건은 보안 소프트웨어를 최신상태로 유지하지 않는 가장 일반적인 경우와 보안 시스템 설치 실패 등 여러 가지 기술적인 보안 실패에 직접적으로 기인한 것입니다.

다시 말해, 인간의 오류가 다시 그 문제를 발생하게 하는 것 같습니다.

분야별로 보고된 335건의 사건 중 가장 큰 숫자가 의료분야(91건)와 지방정부분야(57건)에서 발생했음에도, ICO는 “NHS(영국 의료 서비스)는 모든 잠재적인 데이터 침해가 스스로 보고되도록 하는 그들 자신의 규칙을 가지고 있는 반면, 지방정부는 유사한 가이드라인을 가지고 있습니다. 그것은 그 두 분야가 이 표의 상단 부근에 항상 있을 것 같다는 의미입니다.”라고 주장합니다.

따라서, 그들이 그들의 보호아래 두고 있는 정보 때문에 목록에서 다음 두 분야는 훨씬 더 흥미롭습니다. 학교 및 기타 교육기관(25건), 법정 변호사와 사무 변호사(20건), 이 두 분야는 자신들의 개인 정보 보호를 확실하게 하고 있다고 우리들이 바라고 기대하고 있을 것이라고 저는 확신합니다.

앞을 내다보면, 유럽연합(EU)이 데이터 침해에 대한 보고를 위해 새로운 규정을 이행하는 것을 검토함에 따라, 2분기 보고는 분야별 사건에 대해 다른 분포를 보일 것이라도 봐도 무방할 것입니다.

그 새로운 규칙은 8월25일에 효력이 발생하는데, 통신회사와 인터넷 서비스 제공업체는 24시간 내에 “가능하다면” 관계 당국에게 모든 개인 정보 침해를 보고하도록 강요당할 것이라고 합니다.

이것은 실제 의미하였던 것에 비해 상당히 느슨한 해석으로 유도된 것처럼 보이는 “지나친 지연 없는” 침해 보고라는 이전 요구사항이 바뀐 것입니다.

물론, ICO는 단지 데이터 수집과 사건에 대한 보고만 하는 것은 아닙니다. ICO는 필요한 기관에 민사 벌금형을 구형할 힘도 가지고 있습니다.

올해 ICO에 의해 구형된 주목할 만 한 처벌로는 지방정부의 개인정보 유출에 대해 7만 파운드, 의료분야의 사용하지 않는 건물에 개인정보를 그대로 남겨둔 것에 대해 10만 파운드, 의료분야의 의회 웹사이트에 개인정보 공개한 것에 대해 17만5천 파운드 등이 있습니다.