今日のニュース記事でまた核関連施設から情報流出についての記事がありました。
ソース元 ⇒ <核検査機関情報流出>複数共有ソフト使用か
何回も情報流出についての事を書いていますが相変わらずのようです。
職員もあまり自分の扱っている物が特別な意識が無いように思えます。
情報流出と言っても2種類あると考えています。
それは、OSやソフトの脆弱性を狙われての方法、そして自ら危いソフトをインストールしてしまい、それが元で情報が流出してしまうというものです。
今回の事故は、後者のタイプです。
以前の事故も後者である「自ら招いた流出」であると記憶しています。
事故は勝手にファイル共有ソフトをインストール(それも2種類)して使っていた職員の危機管理の意識問題もありますが、このファイル共有ソフトで何を共有していたのかが問題であると思います。
仕事上どうしてもファイルを共有しなくてはならない。
そのためにインストールされたのか?
それとも遊び用のファイルを使うためにインストールされたのか?です。
仕事上でファイルを共有するにしても、社内や遠隔地でセキュリティを高めたファイル共有方法だってありますが、安易に共有ソフトを入れたのかが気になります。
そして、車内では職員が扱うパソコンのユーザー扱いがどうなっているのか?
windowsであれば勝手にシステムが変えられないようにすることが出来ます。
それを野放しにしてあり、個人が自由に使えるようになっているのも施設の重要性を考慮するといかがなものかと思います。
※以下、記事の一部引用です。
毎日新聞の報道などを受けた同センターの発表によると、「迅雷」という中国製の共有ソフトを職員が無断でインストールし、データが流出したほか、昨年7月に同センターが購入した台湾製のハードディスクに「ビットトレント」という別の共有ソフトが入っていた。 昨年8月には、このビットトレントを介して米国などのサーバーから698回の不正アクセスを受けた。データ流出はなかったという。同センターは会見で「この2種類のソフト以外は使用していない」と説明した。
以上の内容を読むと、職員が勝手に「迅雷」という中国製の共有ソフトをインストールしたとあります。
施設では、システム関係者もしくは管理者以外はユーザー扱いになっていないのか?
自由にパソコンを触れるのであれば何もしてもOKだと勝手に思ってしまいます。
結果的には、いつものように「情報の流出はなかった」と言ってます。
時間が経過すればこの事故も忘れ去れ、この後どうなったのか?の報道も無いでしょう。
情報漏えい対策のため、民間会社に委託して外部との通信の常時監視を始めて発覚したそうですが、そんな余計な金を使うのであれば、職員のパソコンを勝手に触れないようにする事、そしてセキュリティについての講習を受けさせて意識を変えることが大事かと思いますが、いかがでしょう。
民間会社に通信の委託業務をしたから情報が流出しなくなるのではない。
事故後の処理をしているだけ。
まぁ、少しの流出で済んだと思えば安いものなのかも知れません。
いい加減、危機意識を職員たちは意識すべきだと思う。
何度も書いているが、この状態は百度と変わらない。
馬鹿としか言いようがない。