今年5月,俄亥俄大学(OU)宣布安全违法行为被发现“计算机系统包含个人信息超过300000个人和组织,包括超过137000个人的社会安全号码”渗透了未知的人。以后的报告表示,另一个漏洞暴露社会安全号码和健康记录的“60000人包括所有当前学生以及一些学校的教师。”
亚当•道奇在诺里奇大学研究生MSIA项目最近发给我的总结这些漏洞和其他不幸的后果。像往常一样,我已经编辑出版的贡献者的原始材料在这个通讯。
* * *
看来你已经开始收到来自校友激烈反弹最近的关于信息违反了大学。一个6月12日文章吉姆·菲利普斯在_Athens News_评论校友反应。反应包括厌恶(其中一些粗俗的语言表达)为你的名誉损失;承诺停止任何未来的捐赠;可能的类诉讼;和建议从一个女毕业生比尔OU的她一直在检查信用报告。
这些反应提出有趣的问题。是什么组织的法律责任和责任,公开个人信息刑事黑客吗?像许多其他组织一样,你已经建立了一个热线电话,以及几大学网站上详细说明如果他们的信息被曝光个人应采取的步骤,如何保护你的社会安全号码和步骤如果你已经身份盗窃的受害者。
然而,你所提供的帮助在这些网页只是信息。你提供个人暴露于可能的身份盗窃没有货币援助保持警惕他们的信用报告。你也不提供任何个人援助在处理身份盗窃的后果。相反,或者建议个人使用每年免费信用报告,并将一个扩展的警报在他们的信用报告,但前提是他们已经成为受害者。
这些建议可能是不够的。年度信用报告相距太远捕获并降低身份盗窃。或者建议订购免费报告分别从三个主要报告公司全年间隔;然而,报告提供了身份窃贼之间甚至四个月时间毁了他们的受害者经济和他们的信用评级造成巨大的损害。
另一个反应是将一个扩展的警报在一个人的信用报告,但这只持续七年。个人信息,如社会安全号码可以永远持续下去,除非经过一个艰难的过程的一个新的。有多少好七年的保护一个23岁的大学校友谁能活70年?
* * *
读者应该考虑自己的组织的社会安全号码,使用未加密的数据在Web服务器上发布,计划应对违反涉及利益相关者数据的机密性。亚当和我认为这是特别重要的咨询公司顾问等规划策略和响应。OU的文档可以提供一个开始,但是我们都有很多事要做的方式应对这些问题适合我们自己的情况。
但不会面对这样的事件没有应急计划。作为对未知的土地使用的旧地图上被认为是危险的,“有龙。”