英国HMRC数据丢失事件：迟来的教训

经过这次数据泄露事件之后，HMRC就想方设法弥补损失，由专业服务公司PricewaterhouseCoopers LLP主席兼高级合伙人Kieran Poynter带领的调查已经全面展开。在初步报告中Poynter表示目前已经采取了以下几项措施：

·醒所有HMRC的员工数据安全的重要性，并提出了几项指导方针

·一位高级官员被任命为数据安全部门的主管

·在HMRC的每个部门都任命一位Data Guardian管理员

·强制禁止将大量数据保存到可移动存储介质之前不进行加密等安全保护措施的行为

·在HMRC内部使用的所有个人电脑和笔记本电脑的下载功能都将被禁用，防止有人通过这些设备将数据下载到可移动存储设备中

·在运送存储了大量数据的可移动存储设备时，应该尽量使用安全的快递方法，并使用防盗包装。

倒数第二条措施有些令人担心——这证明了人们对“下载”这个词还缺乏认识，有人会问作者是否真正了解所涉及的问题。其他的建议都是合理的——但是令人惊讶的是这些措施到目前还没有实施。

也许从这个我们能得到的主要教训就是，先不说你存储的数据的重要性和保密性有多大，这些数据可能并没有以应有的方式被保护——即使已经适当采取了一些保护措施。

我们需要一种“软硬兼施”的做法——先让员工了解到数据的重要性以及采取安全措施的原因，这样他们就自觉自愿地保护数据，然后让专门负责此事的人来管理所有数据转移过程和严格的操作流程，防止员工违反数据保护条例。

这对经历了此次数据丢失事件的HMRC主席Paul Gray来说，这个教训来的有些晚。仅仅是因为一位HMRC的员工随便地将光盘装进信封，Gray就不得不“休假”一段时间了：作为HMRC的最高领导，他别无选择只能为这次数据丢失事件负责，辞掉了这份薪水颇丰的职位。

对其他机构部门来说，这次事件对他们敲响了警钟——除非制定执行了新的安全措施，否则英国人民心里悬着的一块石头是怎么也落不了地的。