大型企業或者政府機構出現網絡安全漏洞的話,雖然都需要作出披露,不過有時拖延太久,失去了對受影響人士提出警告的效用。
愛爾蘭政府最近表示,他們的 COVID-19 疫苗接種網站上 2 年前存在嚴重漏洞,有約 100 萬國民的疫苗接種記錄被洩漏。這個漏洞由網絡保安專家 Aaron Costello 發現,網站的用家可以利用漏洞存取其他人的資訊,包括全名、疫苗接種記錄,甚至該政府部門的內部文件,不過數據零散,不足以用作識別個人。
聲明表示,未有證據顯示這些敏感資料已經被存取過,而且問題在發現之後已經及時修復,因此當時認為沒有必要根據 GDPR 向數據保護委員會報告,因此事件到了 2 年後的現在才終於公諸於世。不過 Aaron Costello 認為公開披露事故的過程相當婉轉,最初部門不願意公開披露,不過承認漏洞的存在有助防止重蹈覆轍,分享經驗也可以幫助其他組織作出防範,因此在網絡安全範疇,公開披露事故是值得鼓勵的做法。
來源:TechCrunch
