Офис главного инспектора сообщил в просто выпущенном аудите американского Управления служб общего назначения, что независимое правительственное учреждение не сообщило затронутым сторонам об утечке данных 2015 года больше двух лет, по словам Некстгова.

«GSA не уведомила более чем 8 200 человек, затронутых нарушением PII в течение 30 дней как требуется политикой Агентства. Это произошло из-за серии ошибок в процессе ответа нарушения GSA», говорится в сообщении. «Хотя GSA предпринял несколько попыток уведомить затронутых людей, он не был в состоянии показать, что его усилия были полностью успешны».

Инцидент утечки данных происходил из-за ошибки, сделанной сотрудником GSA, который послал незашифрованный документ, содержащий личные данные (PII) примерно 8 200 GSA и Офисных сотрудников из главного инспектора (OIG) GSA после «запроса о списке активных держателей карт путешествия Агентства» независимому внешнему аудитору финансового отчета.

PII содержал в обычном тексте покрытые файлом имена, личные адреса электронной почты и домашние адреса текущего и бывшего GSA и сотрудников OIG, которые побудили внешнего аудитора регистрировать GSA об утечке данных.

GSA случайно пропустил личные данные больше чем 8 000 нынешних и бывших сотрудников

Хотя GSA действительно подтверждал, что утечка данных произошла, будучи приведенным в готовность, аудит, выполненный Офисом главного инспектора, показал, что GSA на самом деле не зарегистрировал, что любые люди затронули по условию инцидент утечки в течение необходимых 30 дней из-за непредвиденного расстройства в процессе ответа нарушения агентства.

«Хотя GSA предпринял начальную попытку уведомить затронутых людей в течение 30 дней после отчета американского СВИДЕТЕЛЬСТВА как требуется применимой политики, это уведомление достигло меньше чем 1 процента намеченных получателей», сказал Офис главного инспектора (.PDF).

После ее начальных попыток тревоги нарушения GSA пыталась уведомить затронутых сотрудников, и 6 января 2016, агентство рассмотрело свои попытки уведомления быть полным, хотя аудит не утвердил его требования.

«Хотя неизвестный в то время, эта попытка достигла меньше чем 1 процента намеченных получателей, потому что электронная почта была перехвачена и изолирована спам-фильтром GSA», заканчивается аудит. «Электронная почта была изолирована, потому что спам-фильтр сигнализировал ее как потенциальное содержание конфиденциальной информации; однако, сообщение на самом деле не содержало конфиденциальной информации».