關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。購買訂閱有助於確保有關塑造當今世界的發現和想法的重大故事的未來。
在發生多起嚴重的安全漏洞之後,聯邦政府曾多次承諾對敏感資訊進行加密,更不用說停止將其儲存在員工筆記型電腦上的做法。但顯然,它尚未兌現其承諾。美國國家衛生研究院(NIH)週一證實,一臺筆記型電腦被盜,其中包含有關其國家心肺血液研究所(NHLBI)進行的一項心臟研究中註冊的2500名參與者的未加密資訊。該筆記型電腦是從一名研究人員的汽車後備箱中被盜的。
NHLBI主任伊麗莎白·納貝爾在一份宣告中表示,盜竊事件並非發生在NIH位於馬里蘭州貝塞斯達的園區,但她沒有提供有關這起所謂犯罪的任何其他細節。她說,被盜的電腦是發給一名員工的(而不是政府承包商的);據報道,其中包含每位參與者的姓名、出生日期和醫院醫療記錄號,以及從2001年至2007年進行的研究中採集的心臟MRI資訊。
NHLBI的機構審查委員會(IRB)是一個獨立的委員會,負責監督研究的進行,以保護研究參與者的權利和福祉——於3月4日決定應將漏洞告知研究參與者,但該小組直到3月20日才批准傳送給他們的信。(這些信件在第二天透過隔夜遞送傳送。)NHLBI表示,它“立即”向馬里蘭州蒙哥馬利縣警方報告了盜竊事件。NHLBI沒有回應電話或電子郵件的置評請求,但《華盛頓郵報》報道說,該筆記型電腦是在2月23日被盜的。由美國衛生與公眾服務部(負責管理NIH)支援的聯邦組織,如果對人類進行研究,則必須有一個由至少五名具有不同背景(包括科學和其他學科)的成員組成的IRB審查其工作。
NHLBI進行研究旨在深入瞭解心臟、血管、肺和血液疾病以及睡眠障礙的根本原因。它只是在過去兩年中發生敏感(且未加密)資訊被盜的多個政府機構之一;其他機構包括美國退伍軍人事務部(VA)(在2006年5月,一臺包含2650萬退伍軍人及其配偶的個人資訊的筆記型電腦從一名員工的公寓中被盜);美國交通部(2006年7月在佛羅里達州多拉發生的特工汽車盜竊案的受害者,一臺筆記型電腦中包含約133000名佛羅里達州居民的社會安全號碼和其他個人資訊);以及美國國稅局,該局在2006年6月丟失了一臺筆記型電腦,其中包含291名員工和求職者的資訊,包括指紋、姓名、社會安全號碼和出生日期。
私營部門的情況也好不到哪裡去。在同一時期,包括富達投資和通用電氣在內的幾家大型公司報告了類似的安全漏洞,使多達25萬人面臨身份盜竊和金融欺詐的風險。
NHLBI顯然沒有遵守美國國家標準與技術研究院(NIST)在2006年6月提出的建議,即政府部門和機構應對移動計算機和裝置上的所有資料進行加密,除非部門或機構負責人以書面形式將資訊視為“非敏感”。雖然合規是自願的,但白宮管理和預算辦公室在接下來的一個月釋出了一份備忘錄,要求各機構在發現此類事件後一小時內向美國計算機應急準備小組(美國–CERT)報告所有個人身份資訊的盜竊或丟失。美國–CERT成立於2003年,旨在保護國家的網際網路基礎設施,協調對網路攻擊的防禦和響應。
在VA盜竊案中,政府在得知犯罪後三週多才通知公眾。VA在5月3日被告知,但直到月底才告訴受影響的退伍軍人。VA也沒有足夠迅速地採取行動來執行加密策略。幾個月後,另一臺VA筆記型電腦在弗吉尼亞州雷斯頓的政府承包商Unisys Corporation辦公室被盜。該計算機包含數千個在費城和匹茲堡醫療機構接受治療的VA患者的未加密記錄。
納貝爾表示,被盜的NHLBI筆記型電腦已關閉並受到密碼保護,這可能會限制潛在的後果。但她承認,此類資訊不應以未加密的形式儲存在筆記型電腦上。“當志願者參加臨床研究時,他們對研究人員和研究人員寄予厚望,期望他們以負責任和道德的方式行事,”她在宣告中說。“我們在NHLBI非常重視這種信任,對於這一事件可能使參與我們研究的人員感到我們違反了這種信任,我們深感遺憾。”
納貝爾還表示,NIH的資訊科技中心(CIT)的工作人員確定,研究參與者的資訊不太可能成為盜竊的特定目標。CIT同意,該事件構成“身份盜竊或財務影響的可能性較低”。
由於網際網路上對被盜的個人資訊有很大的需求,這些資訊可以買賣以進行欺詐,因此只有時間才能證明政府的評估是否準確,或者僅僅是一廂情願的想法。