一个医生报案称,她的一台笔记本电脑不见了,这台电脑有密码保护,但是硬盘没有被加密。经过初步的询问,医生告诉我们:这台笔记本电脑里存有一些病人的病理化验结果,以及其他的隐私。
问题
在这一起案件的调查过程中,必须解决下面这几个重要问题:
- 笔记本电脑丢失的准确时间
- 我们能不能知道笔记本电脑现在的位置,并把它找回来
- 笔记本电脑中有哪些患者的数据
- 多少患者的数据受到了影响
- 窃贼有没有进一步使用医生的账号访问医院内部网络的其他地方
技术方案
为了保证用户能在单位的所有地方,都能以统一的方式连上无线网络,企事单位一般会部署许多连入同一个网络的无线接入点(wireless access point,WAP)。如果窃贼离开医院的过程中,笔记本电脑没有断开网络连接,侦查员或许可以通过WAP日志刻画出窃贼离开医院的路线,根据这一线索,我们就可以有针对地调取相应出口的监控录像。
如果笔记本电脑被盗后,窃贼还访问过医院中的其他资源,活动目录、域控制器、VPN控制器等也会提供日志。如果是这样的话,这些信息也有助于侦查人员追踪窃贼。此外,根据这些活动记录中的证据线索,也能推断出这起案件的影响范围,以及嫌疑人的兴趣是不是只是仅限于偷一台笔记本电脑这么简单。
调查结果
通过wi-fi热点日志,侦查人员查明了笔记本电脑被盗的时间,并且发现被盗后笔记本电脑访问过停车场的无线网络,于是停车场的监控录像提供了一张窃贼的照片。然后,侦查人员还顺藤摸瓜,在大门口的路线里找到了载有这名男子的汽车。接着,汽车的车牌被交给了警方,以追踪器所有者。最终被盗的笔记本电脑被找到了。
调查小组认真地检查了VPN日志,以及存放在中央日志服务器里的系统操作日志。检查的结果是:没有证据表明被盗后,医生的笔记本电脑进一步访问过医院的IT资源。对被找回来的笔记本电脑硬盘的分析也表明:被盗后,这台笔记本电脑就再也没打开过。在与法律顾问进行了更大范围的磋商后,医院的管理层做出结论:没有患者的数据遭到泄露。
时间: 2024-08-14 20:55:57