Computerworld News Service: Af de 17.000 medarbejdere blev omkring 15.700 medarbejderes data kopieret af et ukendt antal personer på et peer-to-peer netværk.
Det skriver virksomheden i et brev, der er sendt til de ramte medarbejdere og anklagemyndighederne for at advare dem om sikkerhedsbruddet.
Det har ikke været muligt at få kommentarer fra Pfizer-medarbejdere, men der er blevet lagt kopier af brevet ud på flere hjemmesider.
Uheldet har givet anledning til en undersøgelse, der bliver foretaget af advokat Richard Blumenthal fra Conneticut, hvor 350 Pfizer-medarbejdere er ramt af bruddet.
Richard Blumenthal har bedt Pfizer om at fremskaffe detaljer om, hvilke forholdsregler der blev taget for at beskytte medarbejdernes persondata inden sikkerhedsbruddet, hvornår virksomheden opdagede bruddet, og hvordan man reagerede.
Richard Blumenthal har også bedt Pfizer om at beskrive, hvordan det var muligt at skelne mellem hvilke data, personerne fik adgang til, og hvilke de kun muligvis har haft adgang til. Richard Blumenthal har givet Pfizer indtil den 22. juni til at reagere.
Uautoriseret software
Ifølge Pfizers beskrivelse af uheldet i brevet til medarbejderne stammer sikkerhudsbruddet fra brug af uautoriseret software til fildeling på en medarbejders bærbare computer.
Brevet fra 1. juni, der er underskrevet af Pfizers juridiske chef, Lisa Goldman, indeholder ingen oplysninger om, hvordan virksomheden opdagede bruddet. Men så snart det blev opdaget, retablerede virksomheden den bærbare computer, og softwaren blev deaktiveret, fortæller Lisa Goldman.
Fordi systemet blev brugt til at få adgang til internet uden for Pfizers eget netværk, blev ingen andre data kompromitteret. I brevet undskyldte Lisa Goldman også for problemet over for medarbejderne.
Pfizer har indgået aftale om en ”support and protection”-pakke med kreditoplysningsfirmaet Experian for alle ramte medarbejdere, fortæller Lisa Goldman.
Pakkerne inkluderer et års gratis overvågningsservice og en forsikringspolice på cirka 140.000 kroner, der dækker de omkostninger, medarbejderne måtte have i forbindelse med sikkerhedsbruddet.
Sådanne sikkerhedsbrud kaster lys over vigtigheden af at implementere kontroller for at forhindre både hændelige og forsætlige udslip af data via fildeling eller andre programmer.
Det udtaler Devin Redmond, direktør for sikkerhedsproduktgruppen hos sikkerhedsleverandøren Websense.
Han mener, at sådanne kontroller burde indeholde forholdsregler såsom indholdsfiltrering ved netværksporte, skarp adgangskontrol til følsomme data og forhindring af adgang til fildelingsprogrammer.
Oversat af Mille Bindslev
