Vrouw ontslagen na verlies USB-stick met patiëntgegevens
Een Amerikaanse vrouw die bij een zorgverlener werkte is ontslagen nadat ze een USB-stick met de medische dossiers van 6.000 mensen kwijtraakte. "Het was een fantastische werknemer", aldus Jim Clair, de CEO van Goold Data Systems, dat apotheekkosten van verschillende Amerikaanse staten verwerkt.
Op de USB-stick stonden namen, leeftijden en medicijngebruik van 6.000 mensen uit Utah. De vrouw had problemen met het uploaden van een bestand dat het Ministerie van Gezondheid van Utah had opgevraagd en besloot dat het eenvoudiger was om het op een USB-stick te plaatsen.
Iets wat in strijd met het bedrijfsbeleid is, hoewel ze dit volgens de CEO niet besefte. Onderweg van Salt Lake City naar Denver en vervolgens Washington raakte de vrouw de USB-stick kwijt. "Mogelijk ligt die bij het vuilnis en wordt die uiteindelijk vernietigd, maar het had in de eerste plaats nooit mogen gebeuren", laat Clair weten.
Daar staat wel dat ze wellicht niet wist dat dat tegen het beleid was. Dat zou moeten zijn, "ze heeft 12 mei een security training gehad waarin haar het beleid is uitgelegd en ze wist dus dat dit niet mocht (op straffe van ontslag)"
Overigens heeft die Jim Clair ook nog wat te verantwoorden, want een company policy die niemand snapt heeft niemand wat aan. Waarom wist die werknemer dit niet en waarom was de data niet versleuteld? Ook al wist niet, of niet makkelijk genoeg, of wat?
Het blijft jammer om te zien dat bedrijven/overheid die met privacy gevoelige gegevens / strategische gegevens werken, te weinig doen aan het voorkomen van fouten. Het moet m.i. niet mogelijk zijn om dit soort gegevens op een gewone stick te laden, dit is de fout van het bedrijf!
Ik denk aan het afsluiten van alle USB poorten, alleen werken met versleutelde opslag media (inclusief USB sticks), alles via terminals, regelmatige trainingen in beveiliging maar ook herkennen van phishing etc., blokkeren van privé email (hotmail, gmail) en cloud opslag enz enz enz.
Het gemak van de gebruiker zou nooit belangrijker mogen zijn dan de bescherming van gegevens.
Tja, fijn zo'n baas. Het is immers primair de werkgever die fout is, door toe te staan dat dergelijke informatie op non-encrypted USB sticks terecht kan komen. Met de juiste security controls had dat voorkomen kunnen worden.
"Daar staat wel dat ze wellicht niet wist dat dat tegen het beleid was."
Security awareness is mooi, maar je kunt dit soort zaken ook technisch afdwingen. Een kwestie van goede endpoint security.
Klink misschien hard maar we kunnen alles wel afschermen door de techniek aan te passen maar het blijft een feit dat de mensen zelf verantwoordelijk zijn voor de security binnen een bedrijf, techniek is zeker niet de eerste oplossing om dit te voorkomen.
Wel lastig als je een keer een bestand juist niet encrypted wil opslaan, want dat kan dan niet
Van Dale:
lek·ken (werkwoord; lekte, heeft gelekt) een geheim (opzettelijk) laten uitlekken.
'opzettelijk' tussen haakjes begint overigens aan betekenis te verliezen. M.a.w. 'Lekken' wordt meer en meer als met (boze) opzet bedoeld. Hiervan is in dit geval geen sprake.
Uiteraard is het niet goed wat de werkneemster heeft gedaan maar om haar dan 'per direct' op straat te zetten bewijst eigenlijk wel hoe paranoïde van de pot gerukt we aan het worden zijn.
Waarom zou je dan niet de beheerder ontslaan, die niet zorgt voor de implementatie van goede security controls die dergelijke incidenten kunnen voorkomen, of het lid van het management team dat daarvoor vanuit management oogpunt verantwoordelijk is ?
Een bedrijf die zorgt dat dit soort zaken op orde zijn kan veel van dit soort incidenten voorkomen, en werknemers tegen dergelijke fouten in bescherming nemen. Draagt de werkgever geen verantwoordelijkheid ?
"Dan is ontslag een onzinnige actie. Als ze zich nu de pleuris schrikt van de ophef doet ze het voortaan goed (en ze was kennelijk een heel goede medewerker, dus aan betrokkenheid en verantwoordelijkheidsbesef zal het niet ontbreken). Haar opvolger heeft dat lesje waarschijnlijk nog niet geleerd zodat de kans op herhaling groter is dan bij haar."
100% mee eens, ontslag is de gemakkelijkste weg. Een goed gesprek met de medewerker -en- kijken naar ''lessons learned'' om herhaling als organisatie te voorkomen door de juiste maatregelen te treffen lijkt mij nuttiger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.