Duomenų pažeidimas JAV maršalų tarnyboje atskleidė kalinių asmeninę informaciją

Kaip teisėsaugos pareigūnai turėtų būti įprastų piliečių elgesio pavyzdžiai, teisėsaugos agentūros turėtų parodyti tiek privačioms, tiek vyriausybinėms organizacijoms, ką daryti ir ko nedaryti įvairiose situacijose. Deja, ne visada viskas pavyksta taip. Pavyzdžiui, JAV „Maršalo tarnyba“ (USMS) neseniai patyrė duomenų pažeidimą, ir reikia pasakyti, kad agentūros atsakas po incidento buvo ne toks idealus.

Piratai sulaužo USMS serverius ir vagia esamų ir buvusių kalinių asmeninius duomenis

USMS yra Teisingumo departamento dalis, o jos pagrindinis vaidmuo yra sulaikyti bėgančius asmenis ir įteikti arešto orderius. Matyt, asmenų, kurie buvo paimti į areštinę dėl USMS veiksmų, asmens duomenys yra registruojami ir saugomi serveryje. Tam tikru praėjusių metų momentu šis serveris buvo pažeistas, o jame esantys duomenys buvo pavogti.

2019 m. Gruodžio pabaigoje Teisingumo departamentas informavo USMS apie pažeidimą ir netrukus skylė buvo uždaryta. Šiuo metu USMS bando nustatyti nukentėjusius buvusius ir esamus kalinius ir informuoti juos per sraigių paštą. Jie turi visas teises žinoti apie įvykį, nes pažeidimo metu įsilaužėliai išpūtė visą informaciją, reikalingą asmens tapatybės vagystėms įvykdyti. Remiantis pranešimais, pavogtoje duomenų bazėje buvo žmonių vardai, gimimo datos, socialinio draudimo numeriai ir namų adresai. Po to, kai jiems buvo pasakyta apie pažeidimą, nukentėję asmenys buvo informuoti apie tai, ką jie gali padaryti apsisaugodami nuo tapatybės vagystės.

USMS nenori kalbėti apie pažeidimą

USMS, matyt, neketino pranešti gyventojams apie duomenų pažeidimą. Laiškus ji išsiuntė nieko nepaskelbusi, o žmonės apie tai sužinojo tik po to, kai dalis gavėjų pasidalino pranešimų nuotraukomis socialinėje žiniasklaidoje. „TechCrunch“ ir „ ZDNet“, dvi naujienų agentūros, kurios pirmiausia rašė apie pažeidimą, paprašė USMS pateikti papildomų komentarų, tačiau vyriausybės agentūra pasirinko neatskleisti jokios papildomos informacijos.

Aplink šį įvykį akivaizdžiai trūksta detalių, todėl nemažai klausimų liko neatsakyta. Pvz., Nežinome, kodėl praėjus daugiau kaip keturiems mėnesiams USMS prireikė pranešti žmonėms, kuriems padarytas duomenų pažeidimas. Patys pranešimai taip pat nėra tiksliai perpildyti informacija. Pavyzdžiui, laiške nėra pasakyta, kiek žmonių paveikė, koks serveris buvo naudojamas kalinių asmeninei informacijai saugoti, ir kaip ir kada įsilaužėliai įsilaužė.

Vyriausybinės organizacijos turėtų geriau nei bet kas kitas žinoti, kad tinkamai atskleisti duomenų pažeidimus nėra taip paprasta, kaip parašyti trumpą pranešimą ir pasakyti, kad į žmonių privatumą ir saugumą žiūrima rimtai. Net jei tyrimas tęsiamas, visiškas skaidrumas yra būtinas, jei tikslinė įmonė ar įstaiga nori išlaikyti savo patikimumą visuomenės akyse. Deja, šiuo konkrečiu atveju USMS prioritetų sąraše skaidrumas neatrodo labai didelis.