یکی از منابع داخلی Manulife درباره آنچه که به گفته او مسائل مهم حریم خصوصی در بخش بانکی کانادایی این شرکت است که به طور بالقوه هزاران مشتری را در معرض خطر قرار داده است، سوت میزند.
اطلاعات حساب بانکی مشتریان و سایر جزئیات شخصی میلیونها نام، آدرس، جزئیات حساب، شماره بیمه اجتماعی و کارت اعتباری، تاریخ تولد و تراکنشها از جمله موارد دیگر را میتوان به طور گسترده در پایگاهدادهای با حفاظت از حریم خصوصی کمی مشاهده کرد که بیش از 100 کارمند به آن دسترسی دارند. او گفت و با تعداد ناشناس دیگری به اشتراک گذاشت.
او در مصاحبه ای با Go Public ادعا کرد: «هرکسی که مشتری بانک Manulife بوده است، اطلاعات شما ممکن است توسط شخصی گرفته شده باشد.
آنها می توانند از آن برای سرقت هویت شما استفاده کنند. آنها می توانند یک خط اعتباری به نام شما باز کنند، کارت های اعتباری را به نام شما دریافت کنند، اطلاعات را به شخص دیگری بفروشند، و هیچ راهی وجود ندارد که بدانیم آیا این اتفاق افتاده است یا خیر.”
Go Public همچنین گزارش داخلی Manulife را که در بهار 2021 نوشته شده است، به دست آورده است که منعکس کننده نگرانی های خودی است. این داده ها و مسائل مربوط به حریم خصوصی را با آن پایگاه داده مستند می کند، که در آن مقطع تقریباً یک دهه وجود داشت.
- داستانی دارید که می خواهید بررسی شود؟ با اریکا و تیم Go Public تماس بگیرید
این خودی که بخشی از گروهی بود که به دنبال راهحل بود، میگوید پس از خواندن گزارش توسط مدیریت ارشد، مدیران نمیخواستند مشکل را برطرف کنند.
او گفت: “من متوجه شدم که این چیزی نیست که جدی گرفته شود.” “این چیزی نیست [Manulife is] مایل به صرف زمان یا منابع یا پول برای تعمیر است.”
CBC News هویت خودی را فاش نمی کند زیرا او از عواقب حرفه ای می ترسد.
جنیفر دیویدسون، وکیل تورنتو، که متخصص در فناوری اطلاعات، حریم خصوصی و قوانین امنیت سایبری است، میگوید که او نیز پس از خواندن گزارش داخلی مزاحم شد.
او گفت: “این باعث نگرانی هر فردی است که اطلاعاتی را با Manulife به اشتراک گذاشته است.”
او میگوید شرکتهایی که دادههای شخصی حساس را مدیریت میکنند باید از امنیت دادههای قوی برخوردار باشند و قوانین مربوط به محدودیت استفاده را رعایت کنند، مانند استفاده از دادهها به دلیل جمعآوری آنها و به نظر میرسد زمانی که پایگاه داده دو سال پیش مورد بازبینی قرار گرفت، این حفاظتها وجود نداشت.
لوک شین، رئیس جهانی روابط رسانه ای Manulife، درخواست مصاحبه را رد کرد، اما در بیانیه ای نوشت که پایگاه داده “با الزامات قانونی برای حفظ حریم خصوصی” و استانداردهای حریم خصوصی و امنیت داخلی شرکت مطابقت دارد یا از آن فراتر می رود.
زمانی که Go Public پرسید که آیا پایگاه داده قبل از بیان نگرانیها در گزارش 2021، الزامات حفظ حریم خصوصی نظارتی را برآورده میکند، Manulife توضیح نداد.
شین همچنین نوشت که Manulife خود را “به بالاترین استانداردهای اخلاقی و حرفه ای”، از جمله نظارت انتقادی بر حریم خصوصی و امنیت اطلاعات شخصی، نگه می دارد.
“این می تواند زندگی ها را خراب کند”
این منبع آگاه به Go Public می گوید که یک پایگاه داده کوچک با نام مستعار “Databarn” سال ها پیش برای کمک به تجزیه و تحلیل عمومی و اهداف گزارش ایجاد شد، او گفت، “توسط افرادی که نیاز به دسترسی به داده های بیشتری نسبت به خودشان داشتند” تا تجزیه و تحلیل داده ها آسان تر شود. .
او میگوید که با گذشت زمان، اطلاعات به پایگاه داده افزایش یافت و دایره کارمندانی که مایل به دسترسی بودند نیز افزایش یافت. او گفت که در نهایت به مرکزی برای عملیات بانکی تبدیل شد و برای اهداف گسترده ای مانند کمک به Manulife در اجرای تبلیغات، گزارش مالیاتی و فروش متقابل استفاده می شود.
او می گوید که در اوایل سال 2020، به دلیل رشد Databarn و به دلیل اینکه کارمندان به شدت به پایگاه داده اعتماد داشتند، یک بررسی داخلی آغاز شد.
او گفت که در آن زمان بود که مشکلات بزرگ آشکار شد.
یک بررسی عمیق منجر به گزارش فوق الذکر توسط یک معمار اصلی داده شد که در آن او به افراد بالاتر در مورد خطرات بالقوه و عظیم برای مشتریان هشدار داد.
نویسنده نوشت: «چگونه به اینجا رسیدیم مهم نیست. این جایی است که ما از اینجا به آنجا می رویم که باید جایی باشد که همه تلاش هایمان را متمرکز کنیم.»
معمار داده نگران بود که هیچ راهی برای دانستن اینکه با داده های Databarn چه کاری انجام شده است، کجا رفته است، چه کسی آن را دیده است و چه کاری می تواند با آن انجام دهد، نگران بود.
او هشدار داد: “این می تواند زندگی ها را خراب کند.”
برخی از نگرانی های کلیدی که در این گزارش بیان شده عبارتند از:
- «اصل کمترین امتیاز» رعایت نمی شد. (این یک مفهوم امنیت اطلاعات است که به موجب آن یک کاربر فقط باید به داده های خاص مورد نیاز برای تکمیل یک کار مورد نیاز دسترسی داشته باشد.)
- برخی از شمارههای کارت اعتباری پوشانده نشده بودند، همه 16 رقم قابل مشاهده بودند.
- کارمندان Manulife ایمیلهای رمزگذارینشدهای را که حاوی اطلاعات خصوصی مشتریان بود، ارسال/دریافت میکردند.
- هیچ قابلیتی برای ردیابی اینکه چگونه یا چرا از داده ها استفاده می شود، به چه داده هایی نگاه می شود یا چه زمانی وجود ندارد.
- به مشتریان اطلاع داده نشده بود که Manulife داده های خود را در یک پایگاه داده قرار می دهد “با کنترل های دسترسی و ممیزی کافی”.
علاوه بر همه اینها، این گزارش میگوید، اطلاعات شناسایی شخصی و اطلاعات کارت اعتباری در حال دانلود و ذخیرهسازی در لپتاپها بود، به این معنی که دادههای حساس را میتوان به خانه برد و در رایانه دیگری ذخیره کرد.
کاترینا اینگرام، کارشناس اخلاق داده ادمونتون که نحوه جمعآوری و استفاده از دادهها را مطالعه میکند و به شرکتها در مورد بهترین شیوهها توصیه میکند، گفت: «این یک نگرانی بزرگ است.
او میگوید دادههای خصوصی افراد نباید روی دستگاههایی که از محل کار حذف میشوند کپی شود.
این مطمئناً خطر افتادن آن داده ها به دست یک بازیگر بد را افزایش می دهد.»
Manulife در بیانیه خود هرگونه نقض پادمان های امنیتی را رد کرد و نوشت که “هیچ مدرکی” وجود ندارد که از داده های مشتری سوء استفاده شده باشد. با این حال، گزارش داخلی می گوید راهی برای دانستن وجود ندارد.
Go Public پرسید که Manulife چگونه مطمئن است که هیچ مدرکی دال بر نقض به این معنی است که هیچ موردی رخ نداده است. شرکت به این سوال به وضوح پاسخ نداد.
“به بالاترین سطوح ارتقا یافت”
به گفته اینسایدر، مدیران Manulife، مدیران، کارشناسان حقوقی و فنی که در حال بررسی مشکلات Databarn هستند، گزارش داخلی را بررسی کردند.
او می گوید همه از تصمیم گیرندگان سطح بالا انتظار داشتند که گزارش را بخوانند و سریع عمل کنند. در عوض، او میگوید، به نظر میرسید که نگرانی شرکتها به سمت عقب حرکت کند.
Go Public ضبط یک جلسه Manulife را بررسی کرده است که ماهها پس از به صدا درآمدن هشدارهای گزارش داخلی در Databarn برگزار شد.
در طول جلسه، معاون رئیس جمهور و معمار اصلی مایک پترسن نگرانی هایی در مورد اطلاعات خصوصی مشتریان داشت.
“ما هیچ ایده ای نداریم که آیا ما مورد نقض قرار گرفته ایم یا نه یا داده هایمان از دست رفته است، درست است؟” او درخواست کرد.
همچنین در جلسه، مدیر ارشد اطلاعات بخش بانکی، جک جونز، میگوید که مایکل کر، مدیر ارشد انطباق، که در آن حضور نداشت، نمیخواهد منابع از طرحهای درآمدزا برای اولویتبندی اصلاحات Databarn برداشته شود.
جونز گفت: “این به بالاترین سطوح ارتقا یافته است و این تصمیماتی است که گرفته شده است.”
Go Public از Manulife خواست تا در مورد نظر افسر ارشد انطباق خود مبنی بر اینکه مسائل Databarn نیازی به اولویت اصلی ندارند، نظر دهد.
بیانیه Manulife به Go Public به این سوال اشاره نکرد، اما گفت: “برای تایید ایمنی اطلاعات مشتری فوراً اقدامی انجام شد” و پس از اولین نگرانیها، محدودیتهای بیشتری برای دسترسی داخلی به پایگاه داده اضافه شد.
این شرکت پس از درخواست برای ارائه اطلاعات بیشتر در مورد هرگونه تغییری که ممکن است از زمان ثبت گزارش در سال 2021 در پایگاه داده ایجاد شده باشد، توضیح بیشتری نداد.
مسائل حقوقی
گزارش داخلی همچنین هشدار داد که Manulife ممکن است در سالهای پس از ایجاد Databarn به طور ناآگاهانه تعدادی از اصول حفظ حریم خصوصی را نقض کرده باشد.
در این گزارش آمده است: «به همین دلیل ممکن است مجبور شویم این وضعیت را برای دولت، مشتریان خود یا هر دو فاش کنیم. ما باید این موضوع را در اسرع وقت ارزیابی کنیم و اقدامات لازم را انجام دهیم.»
یکی از منابع آگاه Manulife میگوید، تا جایی که او میداند، بانک با دولت و مشتریانش تماسی نداشته است.
سخنگوی Manulife گفت که این شرکت هرگونه نقض پادمان های امنیتی مربوط به اطلاعات شخصی تحت کنترل خود را گزارش می دهد که “خطر واقعی آسیب جدی به یک فرد ایجاد می کند.”
این سخنگو گفت که هیچ گونه نقض پادمان های امنیتی رخ نداده است و “هیچ مسئله ای وجود ندارد که آستانه نظارتی برای گزارش را برآورده کند.”
سخنگوی دفتر کمیسر حریم خصوصی (OPC)، ویتو پیلیچی، درخواست مصاحبه Go Public را رد کرد و در ایمیلی گفت که این موضوع “به طور بالقوه می تواند موضوع شکایت در OPC باشد.”
دیویدسون، وکیل، می گوید که دلایل زیادی می بیند که پایگاه داده Manulife می تواند مشکل ساز باشد. قانون حفظ حریم خصوصی کانادا، قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی برای هر شرکت بخش خصوصی که اطلاعات شخصی افراد را جمع آوری، استفاده یا افشا می کند، اعمال می شود.
او با اشاره به تقریباً ده سالی که Databarn قبل از شروع تحقیقات وجود داشت، گفت: “به نظر نمی رسد که این با قوانین فدرال حریم خصوصی یا قوانین حریم خصوصی استانی مطابقت داشته باشد.”
این ممکن است نقض قانون بانک باشد و پس از آن PCI وجود داشته است [payment card industry] مسائل مربوط به انطباق که در گزارش ذکر شده است.
شرکتهایی که اطلاعات حساس کارت اعتباری را مدیریت میکنند، برای محافظت در برابر کلاهبرداری کارت اعتباری، باید از استاندارد امنیت دادههای صنعت کارت پرداخت پیروی کنند.
اینگرام، کارشناس اخلاق داده، میگوید مشکلات بزرگ حریم خصوصی در شرکتهای بزرگی مانند Manulife میتواند به طور جدی اعتماد مشتری را از بین ببرد.
ما باید بتوانیم به این نوع سازمانها اعتماد کنیم زیرا اطلاعات بسیار حساسی وجود دارد که ما با آنها به اشتراک میگذاریم.»
منبع داخلی Manulife میگوید که همه اینها نه تنها به خاطر مسائل مربوط به حریم خصوصی کشفشده، بلکه به این دلیل که به نظر میرسد شرکت مسئولیتهای خود را در قبال مشتریان نادیده میگیرد، آسیبهای عاطفی داشته است.
او در مورد مشتریان بانک Manulife که اطلاعات آنها برای سالها افشا شده بود، گفت: “واقعاً وحشتناک است.” “اینها افراد واقعی هستند، با زندگی واقعی. آنها لایق بهتری هستند.”
ایده های داستانی خود را ارسال کنید
Go Public یک بخش خبری تحقیقی در CBC-TV، رادیو و وب است.
ما داستانهای شما را میگوییم، تخلفات را روشن میکنیم و قدرتهایی را که پاسخگو هستند میخواهیم.
اگر داستانی در جهت منافع عمومی دارید، یا اگر اطلاعات خود را در اختیار دارید، با نام، اطلاعات تماس و یک خلاصه مختصر با[email protected] تماس بگیرید. همه ایمیلها تا زمانی که تصمیم به عمومی شدن ندارید، محرمانه هستند.
دنبال کردن@CBCGoPublicدر توییتر.
داستان های بیشتر را بخوانیدتوسط Go Public.