借贷之殇：学贷舞弊与数据泄密之忧！

这是Express Enrollment LLC（也以SLFD Processing的名义开展业务）的电话代表用来从学校债务人那里窃取880万美元“服务费”用以换取不存在的学生贷款服务的一些诈骗语言。今年3月，美国联邦地区法院永久禁止该公司的头目进入债务减免行业，并要求他们上交资产，作为与联邦贸易委员会（FTC）和解的一部分。(参见 "联邦贸易委员会诉Intercontinental Solutions LLC"，美国加利福尼亚州中区地方法院，2024年3月15日和 2023年8月14日；以及 "联邦贸易委员会的行动导致向寻求债务减免的学生收取“服务费”用的骗子被永久禁止"，联邦贸易委员会，2024年2月6日）。

成千上万的美国公民背负着巨额的大学贷款债务，许多人将终生偿还。当然，舞弊者也看到了机会，瞄准了他们的现金和个人身份信息 (PII)。

联邦贸易委员会警告说，有骗子打电话给你，自称是联邦学生援助署（FSA）或美国教育部的，让你签署所谓的学生贷款减免计划。他们会按下你的紧急按钮，声称该计划只在短时间内提供，所以你需要尽快行动。如果你已经在 FSA 注册，他们可能知道你的余额或账号。他们很可能会向你收取一笔永远也退不回来的预付费，并要求你每月付款以减少你的贷款义务。

根据联邦贸易委员会的说法，唯一可以帮助您管理联邦学生贷款的地方是StudentAid.gov。联邦学生援助暑（以及您的联邦贷款服务机构）绝不会向您施压，强迫您注册任何项目。联邦贸易委员会提供以下建议：

• 不要依赖政府印章或标识。骗子使用看似官方的名称、印章和标识，使自己看起来合法。

• 不要相信特殊途径的承诺。还款计划或贷款减免计划并无特殊途径。没有人可以让您参加您不符合条件的贷款减免计划或取消您的贷款。使用您的FSA 账户查看您可能有资格参加的计划。

• 切勿支付预付费。任何公司在帮助你减少或摆脱学生贷款债务之前向你收取费用是违法的。而且，如果您必须支付预付款，您可能得不到任何帮助--或者您的钱也拿不回来。请访问 StudentAid.gov/repay，获取管理联邦贷款的免费帮助。如果您的贷款是私人贷款，请直接向您的贷款服务机构寻求帮助。

• 切勿共享您的FSA ID登录信息。只有骗子才会说他们需要这些信息来帮助您。如果骗子得到了您的FSA ID，他们可能会切断您与贷款服务机构的联系，甚至盗用您的身份。(请参阅 "Scamers follow the news about student loan forgiveness"，作者Terri Miller，联邦贸易委员会，2024年4月16日）。

查看FSA提供的避免学生贷款骗局的资源。如果您发现学生贷款骗局，请通过ReportFraud.ftc.gov向联邦贸易委员会举报。

数据安全软件公司Metomic在其最近的研究报告中对金融服务机构如何管理重要的敏感数据提出了担忧，尤其是在与他人共享数据时。该报告强调了保护数据安全，防止恶意入侵者和公司遵守支付卡行业（PCI）等金融行业规定的限制的重要性。该报告还对Metomic的专有数据进行了分析，以了解金融服务公司如何驾驭 "数据无序扩张"、"陈旧数据 "的风险以及监管合规的重要性。(请参阅 "金融服务数据安全现状"）。

报告指出，这些是金融服务公司最重要的数据类型：

• 包含PII的文件。

• 包含PCI和银行数据的公开共享文件。

• 财务报表、投资组合、市场数据等。

• 员工的薪金、工资、奖金和与报酬相关的详细信息。

• 与风险数据管理有关的特殊要求规则。

通过Metomic进行的风险审计，结果显示某些部门更有可能共享富含PII和PCI数据的敏感数据：

会计：处理可能包含PCI和支付数据的公司银行信息、地址和采购发票。

法律：管理包含大量个人身份信息 (PII) 的敏感合同和法律文件。

人资：处理员工的个人数据和工资数据，属于个人身份信息 (PII) 的一种。

采购：负责供应商和付款信息，是PCI和付款数据的另一个潜在来源。

客户成功：处理客户数据和服务记录，其中可能包括PII和PCI。

在内部与其他部门或外部与其他方共享文件和其他信息，有可能造成数据泄露。为降低部门间风险，Metomic 建议公司应准确定位 "数据漏洞所在，并（实施）针对具体部门的安全培训"。通过关注如何安全处理敏感数据，金融服务公司可以加强对数据不当处理的防御，并保持对相关数据保护法规的遵守"。

Metomic表示，会计、法律、人力资源、采购和客户成功等部门经常需要共享敏感数据。"例如，法律部门与另一个部门共享一份合同。重要的是要有一个系统来管理谁可以访问该文件、访问多长时间以及该文件存储在哪里。如果不采取这些措施，就有可能造成数据泄露--其后果可能会对公司的声誉造成灾难性的影响。

在对多个行业进行的风险审计中，Metomic发现，"2%的文件是公开共享的，18%的文件在全域范围内可用，22%的文件与外部域共享，88%的文件存储在用户的私人驱动器中"。如此广泛的可访问性增加了数据丢失的风险，尤其是公开共享的文件。为帮助降低未经授权的数据访问风险和数据泄露的可能性，Metomic建议公司制定严格的访问控制。

Metomic在对数据蔓延（企业不断增长的数据量以及这种增长在管理和监控数据方面造成的困难）的分析中发现，所有行业所有平台的敏感数据每月增长1.3%。如果企业不能安全地管理这种数据蔓延，就会增加数据丢失的可能性，导致恶意入侵者和违反监管法律的行为增加，从而导致罚款。

Metomic表示，"必须考虑如何、在哪里以及由谁来管理这些数据。此外，随着存储的敏感数据数量的增加，遵守PCI数据安全标准等法规的规定也成为了一项更大的挑战。为了管理这些风险，企业需要制定相关的数据安全战略。

Metomic对陈旧数据（定义为过去90天内未更新的数据）的分析表明，"平均86%的数据在90天内未更新，70%的数据在一年内未更新，48%的数据在两年内未更新"。"这种不活动性加剧了安全和合规风险，提高了重大数据丢失的可能性。为帮助降低此类风险，公司应不断更新文件库存，使其保持最新状态。

尽管Metomic报告的重点是金融服务公司，但研究结果与其他行业也息息相关。保护数据对所有组织都至关重要。身份盗用和数据泄露正在以创纪录的速度增长，而且看不到尽头。随着人工智能的出现，舞弊者正在制造新的骗局并改进旧的骗局，这将加剧舞弊趋势。

当然，个人是系统中最薄弱的环节。对于企业来说，拥有足够的控制措施来帮助防止敏感信息和其他资源受到内部和外部威胁是极其重要的。此外，组织应提供相关的持续培训计划，让员工了解当前舞弊活动的趋势。员工可以与家人和朋友分享他们所学到的知识。

罗伯特-E-霍尔特弗雷特(Robert E. Holtfreter)博士，CFE，是中央华盛顿大学会计与研究专业的杰出教授。他是研究咨询机构Gerson Lehrman Group会计委员会的成员，也是白领犯罪研究联合会顾问委员会的成员。他还是ACFE西北太平洋分会的副主席，是 ACFE咨询委员会和编辑咨询委员会的成员，也是ACFE首届CFE考试内容开发委员会的成员。他于2005年获得ACFE "会计杰出贡献奖"，2006年获得 "年度讲师奖"。Holtfreter荣获2016年《反舞弊》杂志最佳专题文章Hubbard奖。请通过 doctorh007@gmail.com与他联系。