ある元議会職員が、事業の宣伝のためにデータベースから住民のメールを数万件持ち出したことを認めた後、警察から訓戒を受けたことが明らかになった。
データ侵害は昨年11月に発生し、庭ごみ回収のデータベースから7万9000件のメールアドレスがコピーされた。地方自治体によると、これらは現在は議会で働いていない職員によって、「議会とは無関係な事業を宣伝する目的で」持ち出されたという。
ウォリック地区議会のメールアドレスの別データベースも、この侵害の影響を受けた。
元議会職員は自身の行為について謝罪し、すべてのメールアドレスを削除したと保証したとされる。彼は2018年データ保護法に基づき訓戒を受けた。
内部脅威について詳しく読む: 在宅勤務により内部脅威が44%増加
ストラトフォード=アポン=エイヴォン地区議会のCEO、デイビッド・バックランド氏も、この事件について謝罪した。
「強調しておきたいのは、この情報に含まれていたのはメールアドレスのみで、銀行口座の詳細や氏名・住所は含まれていなかったということです」と、同氏は付け加えた。
「調査の結果、このデータ侵害は個人による意図的な行為であり、当方が整備している堅牢な内部統制の破綻ではないと結論づけました。」
セキュリティ専門家は、悪意ある内部関係者が組織に与え得る潜在的な損害について、すぐさま警鐘を鳴らした。
KnowBe4のリード・セキュリティ意識向上アドボケイトであるジャバド・マリク氏は、メールアドレスでさえ、悪い手に渡ればフィッシング攻撃者にとって宝の山になり得ると主張した。
「だからこそ、正当な業務目的に限って機微情報へのアクセスを制限できる、適切な技術的統制を整備することが重要なのです」と、同氏は付け加えた。
「しかし、この事件は技術的統制だけでは不十分であることも示しています。定期的な研修と、データの不正利用がもたらす結果の明確な理解に支えられた、強固なセキュリティ文化が不可欠です。」
CyberSmartのCEO兼共同創業者であるジェイミー・アクター氏は、生活費危機が多くの従業員にこのようなリスクを取らせていると主張した。
「それでも、解決策は企業リーダーが従業員を疑いの目で見たり、脅威として捉えたりすることではありません。むしろ雇用主は、従業員が経済的な不確実性や困難にどう対処しているかに配慮しなければなりません」と、同氏は結論づけた。
「どちらかといえば、この話は定期的なセキュリティ意識向上トレーニングを実施する重要性、そして共感と支援をもって従業員に寄り添う必要性を浮き彫りにしています。」
翻訳元: https://www.infosecurity-magazine.com/news/insider-steals-80000-emails/
