網絡安全事故發生後,除了儘快修補漏洞和回復系統運作外,向受影響人士發出通知也是相當重要,不過調查往往需時,令受影響的人難以儘早防範。最近美國一間大學就在事故差不多一年後才披露事件,引起不滿。
在美國管理多達 26 間高等教育機構的 University System of Georgia (USG) 早前披露了一宗網絡攻擊事件,其中有 80 萬人的數據遭到洩漏。這次事件是去年大型數據事件的一部分,當時 Cl0p 網絡犯罪組織利用 Progress MOVEit MFT 工具中的漏洞進行攻擊,大量機構和企業受到影響。
事件中遭到洩漏的個人資料可能包括社會保險號碼、出生日期、銀行賬戶詳情和稅務文件在內。USG 表示,在 2023 年 5 月 31 日發現漏洞後,已經加強安全措施,包括立即更新 MOVEit Transfer 軟件並確保其安全。隨後進行了徹底調查,以確定受影響人士,不過時隔接近一年後在今年 4 月 15 日才正式發出通知。
與歐盟的 GDPR 不同,美國大多數州都沒有披露安全漏洞的具體期限,像今次時隔一年後才進行報告就令人擔心缺乏及時性帶來的負面影響。事件中 USG 向受影響人士提供了 12 個月的信用監控,以減輕潛在的損失。
來源:The Register