新南威尔士州审计长玛格丽特·克劳福德（Margaret Crawford）发布了其办公室关于新南威尔士州服务局如何处理个人和商业信息的报告https://www.zdnet.com/article/service-nsw-reverses-738gb-of-customer-data-was-stelled-during-email-break/“>今年早些时候代理被违反。

5月，该机构承认网络钓鱼攻击，导致47个员工电子邮件帐户被泄露。据称，该漏洞已影响到186000个客户，并暴露了380万个文档中包含的多达738GB的客户信息。

审计署在其https://www.audit.nsw.gov.au/our-work/reports/service-nsws-handling-of-personal-information“target=“_blank”rel=“noopener noreferrer nofollow”data component=“externalLink”>报告该漏洞实际上是3月底和4月初的一对网络钓鱼攻击——伪造的电子邮件Office 365警告--导致从中获取凭据的假Office 365登录页。尽管新南威尔士州服务局此前曾强调，2018年在其系统上没有多因素认证，并表示将在2019年6月前完成，但直到违规事件发生，该认证才得以实施。

尽管新南威尔士州服务局对本周受影响的客户淡化了违规行为的影响，但审计署表示，它尚未看到该声明背后的数据，无论如何，这是一个严重的违规行为，显示新南威尔士州的服务需要改进。

审计署表示，该机构此前曾表示，违规行为将耗资约3000万澳元，但这还不包括补救措施或赔偿措施。

该报告对一家发展迅速、没有执行自己的政策、缺乏与其他机构和部门的适当数字化和安全通信、并在使用其Salesforce CRM执行其未设计的任务的情况下，提出了一种谴责的观点。

“新南威尔士州服务局没有有效地处理个人客户和商业信息，以确保其隐私，”该报告以开头。

“它继续使用对个人信息隐私构成风险的业务流程。”

新南威尔士州服务局使用的最不符合要求的方法之一是扫描个人信息并通过电子邮件发送给与之有客户协议的一些机构，其中之一是出生、死亡，还有婚姻——而且没有自动控制。

取而代之的是，该机构依靠手动策略，要求其工作人员从已发送和已删除文件夹中“双重删除”带有扫描附件的电子邮件，并从共享驱动器中删除扫描副本。

“客户个人信息的运营风险并未得到有效缓解，导致最近数据泄露的业务流程仍在继续，”报告称。

“当有识别和记录风险的流程时，缓解风险的控制措施需要改进。

报告补充说，新南威尔士州服务局过于依赖员工培训，对员工的工作没有任何技术障碍，甚至没有适当的日志。

“一旦培训了如何在客户代理系统上进行交易，员工就可以使用访问登录。对于未经授权访问客户信息的员工，没有进一步的技术限制。“

”新南威尔士州服务部也没有办法定期监控访问情况。我们被告知未经授权访问客户信息的例子，但这些都是通过其他方法发现的，例如另一名团队成员报告可疑行为或在客户投诉后怀疑其隐私受到侵犯。“

由于新南威尔士州服务的创建方式，该机构使用其他36个州政府机构提供的数据，因此与其他州政府机构有协议，这些安排并非无懈可击。

“新南威尔士州服务局与其客户机构之间的协议中隐私责任的不明确带来了两个风险。”。

“首先，必要的义务将落在两个机构的‘夹缝’之间，由各自承担另一个履行义务的责任。

“第二，它给个人带来了不确定性，即哪家机构对其个人信息负责，以及哪家机构在发生违规行为时应承担责任——甚至知道个人应该向哪个机构投诉。”

自2013年创建以来，新南威尔士州服务机构已从三家客户机构发展到36家，员工人数从24人增加到3900人，开设了109个服务中心和4个移动中心，处理的交易数量增加了150%。

在使用Salesforce管理的CRM解决方案来存储不打算存储的信息时，这一增长就是明证。

“CRM主要用于记录与新南威尔士州服务局代表其他机构执行的交易相关的客户服务互动，而不存储通过这些交易收集的个人信息。交易信息通常存储在客户代理系统上。

“自成立以来，新南威尔士州服务公司对其客户关系管理系统的使用已扩展到存储交易数据，尤其是对其负责的服务，如老年人卡。它还保存了超过400万myservicesw帐户持有人的基本帐户详细信息，至少包括姓名、电子邮件地址、电话号码和可选地址详细信息。“

审计署发现Salesforce实例保存了未识别的数据，如健康、残疾、，以及收到儿童活动代金券的儿童的土著地位，以及“负担得起的试管受精计划的计划信息”。

“它还保留有关火器许可证申请的交易信息审计署说。

“接受本次审计的一些员工担心，CRM系统用于存储交易信息的方式发生了变化，同时存储的数据量也越来越大，这改变了系统设计时的风险状况。”

表面上，该机构曾表示，它的风险偏好为零，但审计署在实现这一目标的努力中发现了漏洞。

例如，管理人员没有完成年度隐私管理评估，员工对其隐私管理计划的了解程度较低，而且没有按要求将其提交给隐私专员，即使被告知机构高管讨论企业风险，审计署也找不到任何提及在提供的会议记录中。它说：“这就造成了这些会议讨论的内容的不确定性，这些会议是否做出了任何正式决定，或商定了哪些行动。”。

尽管审计署表示新南威尔士州服务局能够进行“良好做法”隐私影响评估，但它只对重大新项目进行评估，而没有在现有系统上完成评估。新南威尔士州服务局也不公布评估，即使评估本身建议这样做。

审计署在一系列建议中表示，新南威尔士州服务局需要紧急实施一种方法，在自己和客户机构之间安全地传递个人信息，并审查是否需要存储这些信息，如果需要，创建一种更安全的方法来存储和定期删除这些信息。

该报告还建议，在2021年3月之前，新南威尔士州服务局应确保与客户机构签订的新协议涵盖了私人信息的存储和安全，与客户服务部监督其隐私管理计划，并与该部合作，共同管理隐私风险。根据所述的用户权限划分，NSP应根据自己的权限和权限报告用户的权限。该机构还应该允许客户对其myservicesw帐户使用多因素身份验证，并查看与其个人信息相关的交易历史记录，以确定处理不当。

该报告建议新南威尔士州服务局在明年12月之前修改与客户机构的现有协议，以涵盖如何存储和保护私人信息，并对“涉及个人信息处理的所有流程、系统和交易进行风险评估”，并完成未评估的高风险系统或自先前评估后发生重大变化的系统的隐私影响评估。

客户服务部部长维克多·多米内洛对报告的“有力”调查结果表示欢迎。

“我的机构致力于执行审计长的所有建议，并已经实施了一些关键的安全措施，例如对员工电子邮件帐户进行多因素身份验证，”他说。

“传统系统（如本次攻击中针对的那些包含复印纸附件的系统）必须系统地删除，并用安全的端到端数字系统替换。

“我向受影响的人表示诚挚的歉意。”

Intel宣称拥有Optane充电的P5800X最快的数据中心存储标题

Facebook被ACCC拖上法庭，指控其欺诈性VPN行为

通过注册，您同意
2023-03-22 10:04:24