Несколько компьютеров, отправленных в Rehab Recycle, вместо того, чтобы пойти на утилизацию в соответствии с инструкциями клиентов, были перепроданы.
Аудит за 2022 год выявил риск утечки данных после того, как устройства были проданы третьей стороне, имевшей доступ к складу.
Проверка была проведена по заказу Rehab Group для рассмотрения опасений, высказанных сотрудником Rehab Recycle Tallaght посредством раскрытия защищенной информации.
Сотрудник утверждал, что в какой-то период 2020 года компьютеры, подлежащие уничтожению, были проданы третьей стороне, которая в свою очередь повторно использовала их на рынке подержанной электроники.
Несколько сотрудников предприятия в южном Дублине сообщили аудиторской группе, что у стороннего бизнеса был неограниченный доступ к складу, и эта компания выбирала активы, которые она хотела купить, «не обращая внимания на инструкции клиента об уничтожении или повторном использовании».
В одном конкретном случае, отмеченном аудиторской группой, было предостаточно тому доказательств. Центр Rehab сам купил восстановленный ноутбук у третьего лица. Оказалось, что именно этот ноутбук им сдал клиент для уничтожения с условием «повторному использованию не подлежит».
Среди клиентов, упомянутых в ходе проверки, есть государственные органы, которые хранят конфиденциальные данные, в том числе правительственные ведомства и организации, финансируемые государством. Аудит не указывает, были ли из проданных третьей стороне компьютеры, полученные от каких-либо государственных клиентов. Также не понятно, какое количество ноутбуков или другого оборудования охватывает этот аудит — в отчете упомянуты две компании без названия, чье оборудование было отправлено на уничтожение в утилизационный центр.
Согласно ежегодному отчету благотворительной организации, предприятие в Талла обработала более 735 тонн ИТ-комплектов в 2020 году.
The Journal запросил у Rehab Group более подробную информацию о количестве устройств, обработанных за рассматриваемый период, сколько из них продано, и есть ли среди них компьютеры от каких-либо государственных органов. Ответы на эти вопросы не предоставлены. Аудит, проведенный в 2022 году внешними аудиторами и просмотренный Noteworthy, собрал «значительный объем доказательств», подтверждающих большинство высказанных опасений, но они «в основном в форме устных заявлений».
Rehab Group подтвердила, что получила раскрытие защищенной информации, «касающейся филиала своего подразделения Rehab Enterprises» в 2022 году, и сразу приняла меры, наняв независимого внешнего консультанта для расследования высказанных опасений и обвинений. Представитель компании заявил:
«Результаты этого обзора и его рекомендации были учтены, введен мониторинг, дополнительные проверки и балансы… Rehab Group действует в соответствии с проблемами, поднятыми сотрудниками, и придерживается надежных, прозрачных и последовательных процедур».
Два правительственных ведомства, указанные в аудите в качестве клиентов в 2020 году, заявили, что перед утилизацией жесткие диски были очищены на месте.
Другое ведомство сообщило о получении от центра Rehab свидетельства об уничтожении предметов, которые должны были быть «физически уничтожены до такой степени, чтобы никакие данные не могли быть восстановлены».
Другие департаменты заявили об отсутствии контрактов с Rehab в 2020 году.
«Сдержки и противовесы»
В ходе аудита также была изучена претензия о том, что третьей стороне было разрешено приобрести выведенное из эксплуатации сканирующее оборудование из больницы Бомонт, которое было отправлено в Талла для уничтожения.
Представитель Beaumont сообщил Noteworthy, что у компании контракт на утилизацию оборудования совсем с другим поставщиком, и больница не была проинформирована о какой-либо предполагаемой покупке выведенного из эксплуатации оборудования, но направит необходимые запросы своему подрядчику.
Кроме того, аудит также показал, что существует риск того, что личные данные компании-клиента все еще находятся на жестких дисках оборудования, проданного третьей стороне для демонтажа, которая вместо уничтожения повторно использовала это оборудование.
Аудит рекомендовал Rehab провести расследование, произошла ли утечка персональных данных в этом случае. The Journal запросил у центра Rehab, выполняют ли они это, на что было получено следующее сообщение:
«Выводы этого отчета и его рекомендации были учтены, в действие введены мониторинг и дополнительные сдержки и противовесы. По результатам проверки Rehab удовлетворена тем, что утечки персональных данных не произошло».
При этом, четкого ответа, что именно сделала компания, чтобы убедиться, что утечки персональных данных не произошло, представитель не дал, и никаких комментариев на дальнейшие запросы журналиста не последовало.
Аудит действительно показал, что после того, как в 2020 году были высказаны первоначальные опасения, региональное руководство Rehab Recycle дало указание продавать, фигурируемой в деле, третьей стороне в будущем только оборудование, полученное для повторного использования. И по данным проверки, с октября 2020 года это третье лицо также больше не допускалось на склад.
«Возможно, утечка данных произошла»
Rehab Recycle является филиалом Rehab Enterprises, крупнейшего негосударственного работодателя для людей с ограниченными возможностями, и входит в состав благотворительной группы Rehab Group. На сайте Rehab Recycle говорится, что их основной бизнес сосредоточен на переработке компьютерного оборудования и уничтожении конфиденциальных данных и является «пионером в этой области с 1984 года».
Клиент может дать разрешение на повторное использование оборудования, а благотворительная организация будет очищать и восстанавливать устройства для продажи на рынке второй жизни. Но когда клиент требует уничтожения оборудования, оно должно быть измельчено и выдано свидетельство об уничтожении.
На сайте также сказано, что приверженность центра конфиденциальности данных «абсолютна» с «самым полным соблюдением всех соответствующих законов об утилизации отходов и законов о защите данных».
Учитывая потенциальную возможность того, что личные записи на компьютерах не были уничтожены с точки зрения оборудования одного конкретного клиента, аудиторская группа выявила проблему защиты данных и потенциальное нарушение Общих правил защиты данных (General Data Protection Regulation, GDPR).
Обязанность информировать клиентов
Как обработчик данных, Rehab несет различные обязательства в соответствии с GDPR, строгим законом ЕС о защите данных и конфиденциальности. Это включает в себя требование использовать меры безопасности, соответствующие риску, и обрабатывать данные только в соответствии с установленными инструкциями клиента.
В соответствии с GDPR любая проблема, связанная с потенциальной утечкой данных, должна быть выражена сотруднику по защите данных компании. В случае, выявленном в ходе проверки, этого не произошло. Обработчик также должен незамедлительно уведомить клиента, когда ему станет известно об утечке персональных данных.
На запрос, сообщал ли Rehab Group своим клиентам или Уполномоченному по защите данных (DPC) о потенциальной утечке данных, центр прямого ответа не дал, он прокомментировал так:
«Чтобы обеспечить соблюдение прав всех заинтересованных сторон, Rehab Group подчеркивает, что отчет, полученный в результате этой проверки, является строго частным и конфиденциальным».
В DPC также не смогли подтвердить однозначно, что они получали уведомление о каком-либо нарушении от Rehab. Представитель напомнил:
«Требование к организациям в соответствии с GDPR сообщать об утечках персональных данных в DPC зависит от нескольких факторов, включая характер нарушения, причину нарушения, тип раскрытых данных, смягчающие факторы и было ли разоблачение личных данных уязвимых лиц».
Метки: законы, защита данных, компьютеры, скандал, Талла, утилизация