关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。购买订阅有助于确保有关塑造当今世界的发现和想法的重大故事的未来。
在发生多起严重的安全漏洞之后,联邦政府曾多次承诺对敏感信息进行加密,更不用说停止将其存储在员工笔记本电脑上的做法。但显然,它尚未兑现其承诺。美国国家卫生研究院(NIH)周一证实,一台笔记本电脑被盗,其中包含有关其国家心肺血液研究所(NHLBI)进行的一项心脏研究中注册的2500名参与者的未加密信息。该笔记本电脑是从一名研究人员的汽车后备箱中被盗的。
NHLBI主任伊丽莎白·纳贝尔在一份声明中表示,盗窃事件并非发生在NIH位于马里兰州贝塞斯达的园区,但她没有提供有关这起所谓犯罪的任何其他细节。她说,被盗的电脑是发给一名员工的(而不是政府承包商的);据报道,其中包含每位参与者的姓名、出生日期和医院医疗记录号,以及从2001年至2007年进行的研究中采集的心脏MRI信息。
NHLBI的机构审查委员会(IRB)是一个独立的委员会,负责监督研究的进行,以保护研究参与者的权利和福祉——于3月4日决定应将漏洞告知研究参与者,但该小组直到3月20日才批准发送给他们的信。(这些信件在第二天通过隔夜递送发送。)NHLBI表示,它“立即”向马里兰州蒙哥马利县警方报告了盗窃事件。NHLBI没有回应电话或电子邮件的置评请求,但《华盛顿邮报》报道说,该笔记本电脑是在2月23日被盗的。由美国卫生与公众服务部(负责管理NIH)支持的联邦组织,如果对人类进行研究,则必须有一个由至少五名具有不同背景(包括科学和其他学科)的成员组成的IRB审查其工作。
NHLBI进行研究旨在深入了解心脏、血管、肺和血液疾病以及睡眠障碍的根本原因。它只是在过去两年中发生敏感(且未加密)信息被盗的多个政府机构之一;其他机构包括美国退伍军人事务部(VA)(在2006年5月,一台包含2650万退伍军人及其配偶的个人信息的笔记本电脑从一名员工的公寓中被盗);美国交通部(2006年7月在佛罗里达州多拉发生的特工汽车盗窃案的受害者,一台笔记本电脑中包含约133000名佛罗里达州居民的社会安全号码和其他个人信息);以及美国国税局,该局在2006年6月丢失了一台笔记本电脑,其中包含291名员工和求职者的信息,包括指纹、姓名、社会安全号码和出生日期。
私营部门的情况也好不到哪里去。在同一时期,包括富达投资和通用电气在内的几家大型公司报告了类似的安全漏洞,使多达25万人面临身份盗窃和金融欺诈的风险。
NHLBI显然没有遵守美国国家标准与技术研究院(NIST)在2006年6月提出的建议,即政府部门和机构应对移动计算机和设备上的所有数据进行加密,除非部门或机构负责人以书面形式将信息视为“非敏感”。虽然合规是自愿的,但白宫管理和预算办公室在接下来的一个月发布了一份备忘录,要求各机构在发现此类事件后一小时内向美国计算机应急准备小组(美国–CERT)报告所有个人身份信息的盗窃或丢失。美国–CERT成立于2003年,旨在保护国家的互联网基础设施,协调对网络攻击的防御和响应。
在VA盗窃案中,政府在得知犯罪后三周多才通知公众。VA在5月3日被告知,但直到月底才告诉受影响的退伍军人。VA也没有足够迅速地采取行动来执行加密策略。几个月后,另一台VA笔记本电脑在弗吉尼亚州雷斯顿的政府承包商Unisys Corporation办公室被盗。该计算机包含数千个在费城和匹兹堡医疗机构接受治疗的VA患者的未加密记录。
纳贝尔表示,被盗的NHLBI笔记本电脑已关闭并受到密码保护,这可能会限制潜在的后果。但她承认,此类信息不应以未加密的形式存储在笔记本电脑上。“当志愿者参加临床研究时,他们对研究人员和研究人员寄予厚望,期望他们以负责任和道德的方式行事,”她在声明中说。“我们在NHLBI非常重视这种信任,对于这一事件可能使参与我们研究的人员感到我们违反了这种信任,我们深感遗憾。”
纳贝尔还表示,NIH的信息技术中心(CIT)的工作人员确定,研究参与者的信息不太可能成为盗窃的特定目标。CIT同意,该事件构成“身份盗窃或财务影响的可能性较低”。
由于互联网上对被盗的个人信息有很大的需求,这些信息可以买卖以进行欺诈,因此只有时间才能证明政府的评估是否准确,或者仅仅是一厢情愿的想法。