Les unités à base de carbone sont à nouveau responsables d’une énorme violation des contrôles de sécurité dans une organisation.
Cette fois, c’est un employé de la ville de Hamilton qui a appuyé trop rapidement sur le bouton « Envoyer » d’un message envoyé à 450 résidents qui s’étaient inscrits pour voter par la poste lors des prochaines élections municipales.
Malheureusement, l’employé n’a pas utilisé la fonction “copie carbone invisible” (cci). Au lieu de cela, la liste des destinataires est entrée dans le champ “À”, afin que tous les destinataires puissent voir le nom et l’adresse e-mail de chacun.
Selon le Hamilton Spectatorune personne qui a reçu l’explosion s’est plainte à la ville ainsi qu’au commissaire provincial à l’information et à la protection de la vie privée.
En réponse, la ville a envoyé une déclaration disant qu’elle regrettait l’erreur et toute détresse que cet incident pourrait causer à ceux qui ont utilisé le processus de vote par correspondance.
“Plusieurs adresses e-mail ont été saisies par inadvertance dans la ligne à : de l’e-mail au lieu de la ligne bcc :, exposant les adresses e-mail à tous les destinataires de l’e-mail. Des mesures immédiates ont été prises pour rappeler le message et informer toutes les personnes concernées.
« La ville de Hamilton prend très au sérieux la responsabilité de protéger la sécurité des personnes et leurs renseignements personnels et procédera à un examen des processus pour s’assurer que le personnel est formé à la protection des renseignements personnels.
La ville a avisé le commissaire provincial à l’information et à la protection de la vie privée (IPC) parce que les éventuelles violations de données sont assujetties à la Loi sur l’accès à l’information municipale et la protection de la vie privée (LAIMPVP).
Dans un e-mail, le bureau de l’IPC a déclaré avoir été informé par la ville et avoir reçu deux plaintes concernant la confidentialité.
Le CIPVP ne dispose pas de statistiques sur les courriels mal acheminés provenant d’institutions publiques visées par la loi provinciale sur l’accès à l’information et la protection de la vie privée (LAIPVP) et la LAIMPVP, car ils ne sont pas tenus de signaler les atteintes à la vie privée. Cependant, a ajouté le CIPVP, les dépositaires de renseignements sur la santé assujettis à la loi provinciale sur la protection des renseignements personnels sur la santé sont tenus de signaler les atteintes à la vie privée. L’an dernier, 1 165 – soit environ 12 % – des divulgations non autorisées de renseignements personnels sur la santé ont été causées par des courriels mal acheminés.
“Malheureusement, les e-mails mal acheminés sont une cause courante – bien qu’évitable – d’atteintes à la vie privée”, indique le communiqué de l’IPC. « Le commissaire Kosseim a écrit un Blog sur les courriels mal acheminés et sur l’importance de mettre en place des politiques, des procédures et des mesures de protection administratives explicites lors du traitement des renseignements personnels afin d’éviter de telles divulgations non autorisées de renseignements personnels. Les employés doivent être bien formés pour être conscients des risques potentiels pour la vie privée et suivre les protocoles appropriés pour éviter les atteintes à la vie privée. Cela comprend la vérification et la double vérification des destinataires prévus de l’e-mail, en s’assurant qu’ils se trouvent dans le champ approprié – CC ou BCC – et en examinant le contenu des e-mails et des pièces jointes avant d’appuyer sur envoyer. Les documents ou feuilles de calcul contenant les informations personnelles des individus doivent être cryptés avec des mots de passe forts. De cette façon, même s’ils sont joints par erreur à un e-mail ou envoyés à la mauvaise personne, les destinataires non autorisés ne peuvent pas les lire.
La fonction de copie carbone aveugle a été ajoutée aux premiers systèmes de messagerie pour empêcher les destinataires d’e-mails de masse de voir la liste des autres personnes auxquelles le message est allé. L’idée est que l’expéditeur colle la liste des destinataires dans le champ ‘Cci’. Cependant, certaines personnes qui ne regardent pas attentivement collent la liste dans le champ “À” ou “cc” (copie carbone), et tous ceux qui reçoivent le message peuvent voir les noms – ou au moins les surnoms – et les adresses e-mail de tous les autres.
En 2016, Axa Insurance est cotée ceci comme l’un des cinq échecs de courrier électronique redoutés. Certains développeurs d’applications ont créé des plug-ins de messagerie pour les systèmes de messagerie populaires afin d’éviter ce problème.
David Shipley, directeur d’une entreprise de formation en sensibilisation à la sécurité au Nouveau-Brunswick Sécurité Beaucerona déclaré que la confusion sur BCC “est littéralement la plus ancienne erreur de violation de la vie privée dans le livre et une que chaque organisation finit par devoir gérer tôt ou tard”.
« La réalité est que les gens sont humains et qu’ils font des erreurs. Si vous avez des communications critiques avec plusieurs personnes, il est très important que les bons outils soient mis en place pour garantir le respect des obligations en matière de confidentialité.
« Ces types d’incidents nous rappellent que les gens utilisent souvent leur plate-forme de messagerie comme marteau pour résoudre chaque problème, alors que cela peut souvent causer autant de mal que de bien. Par exemple, une bonne plateforme de gestion de la relation client est un moyen beaucoup plus sûr de communiquer avec les parties prenantes. »
More Stories
Comment créer une entreprise prospère ?
Cyber Security Today, 5 décembre 2022 – Un autre effaceur de données a été trouvé, le service open source Fosshost ferme, et plus encore
La FTC poursuit pour empêcher Microsoft d’acheter Activision • TechCrunch