ITRC：美國去年資料外洩事件增加33%

美國身份竊盜資源中心（Identity Theft Resource Center，ITRC）本周公布2010年美國總計有662起的資料外洩事件，比2009年（498起）多出33%，並建議美國政府應該強制規定業者必須提供資料外洩報告。

ITRC表示，除了少數的州立網站或媒體揭露的內容外，許多的事件都未提供、或只揭露少數的資訊，顯示若未強制規範，許多外洩事件仍會被埋沒。

ITRC認為，強制報告對於醫藥資料外洩有正面的影響。美國衛生及公共服務部雖然陳列了214起資料外洩事件，但所提供的資訊不足，例如並未提及民眾的姓名、X光片或社會安全碼是否出現在外洩的資料中，使得大眾無從得知外洩事件的嚴重性。此外，雖然有些州強制規模要提交資料外洩報告，但也只限於牽渉到該州州民的事件，根據統計，今年有紀錄的662起外洩事件中，約有20%是來自於強制規定報告的各州。

ITRC的統計主要來自於各州的報告及媒體報導，所定義的資料外洩涵蓋紙本或電子化的個人姓名、社會安全碼、駕照編碼、醫療記錄或金融卡資訊等。

其中，紙本的資料外洩事件約佔總數的20%，而且通常是由地方媒體所揭露，因為強制報告機制一般未涉及紙本外洩。另外，資料外洩事件發生的主要原因為惡意攻擊，約佔17.1%，內部竊賊則佔15.4%，因外包業者而資料外洩的比例佔14.6%，資料移動時出錯的比例佔12.9%，屬於意外的佔6.8%。

即使統計出資料外洩的件數，但調查發現，有38.5%的資料外洩事件並未說明有哪些資訊曝光，只有51%的事件列出受影響的資料筆數，總計有1610萬筆。ITRC認為，相關數據顯示透明度及完整報告的缺乏，以及對強制報告的需求。以所有的資料外洩事件來看，62%內含社會安全碼，26%內含金融卡資訊。

ITRC建議，美國需要一個集中管理且可供大眾存取的資料外洩報告網站，以讓民眾得知發生了什麼事，哪些資料可能被危害，或是資料外洩事件發生的原因，同時也有利執法機構解決相關的犯罪案件，因為外洩事件被公布前，駭客可能早早就使用這些資訊長達數個月。（編譯/陳曉莉）