Dua tahun setelah super-hack rahasia Amerika, Badan Gedung Putih menjadi lebih buruk di pertahanan cyber

Kantor Gedung Putih untuk Manajemen Personalia, dua tahun lalu, adalah fokus dari pelanggaran terburuk dari intelijen keamanan cyber dalam sejarah AS, yang sebenarnya memperbaiki dalam upayanya untuk memberikan pertahanan yang memadai terhadap cyberintulations lebih lanjut, menurut laporan baru dari inspektur agensi sendiri. umum.

Laporan ini adalah berita yang menyedihkan bagi agen yang telah terjadi pada Maret 2014 pada bulan Maret 2014 pada bulan Maret 2014 pada bulan Maret 2014, memiliki informasi pribadi yang sensitif terhadap sekitar 25 juta karyawan AS, termasuk jutaan file izin keselamatan, file agensi dan itu dari dua kontraktor pentingnya. Data sidik jari sekitar 5,6 juta karyawan juga dicuri.

Menurut laporan mengejutkan tentang perampokan yang diterbitkan dua bulan lalu oleh mayoritas Republik di Komite DPR untuk pengawasan dan reformasi pemerintah, nilai intelijen pencurian, yang dilakukan dari Cina, “tidak dilebih -lebihkan, dan sedang Tidak dilebih -lebihkan, dan itu tidak akan pernah, dan itu tidak akan pernah sepenuhnya diketahui.

Yang jelas, bagaimanapun, adalah bahwa agen yang dikenal sebagai OPM, meskipun ada perbaikan yang mengenali inspektur jenderal, masih tersandung ke dalam respons yang cukup terhadap bencana, bersama dengan upaya profil tinggi dan mahal lainnya untuk memodernisasi teknologi dan keamanan informasi, dan memiliki memiliki ‘regresi signifikan’ untuk memenuhi persyaratan keamanan informasi.

Dalam laporan IG terbaru, dicatat bahwa agensi tersebut masih menderita pergantian staf yang tinggi dalam informasi sensitif tentang keamanan informasi dan manajemen puncak termasuk lima pejabat informasi utama dalam skor tiga tahun sebagai kegagalan yang berkepanjangan untuk memeriksa kontrol keamanan pada sistem komputer ke Pastikan mereka cukup.

Ini juga mengantuk dalam menangani berbagai kelemahan keamanan yang lama dan masih belum bertindak atas sejumlah rekomendasi keamanan yang ditetapkan dalam laporan sebelumnya tentang inspektur jenderal – beberapa dibuat bertahun -tahun sebelum peretasan bencana.

Laporan tersebut menunjukkan, antara lain, bahwa hanya dua aplikasi komputer terpenting dari agensi yang memenuhi standar pemerintah sendiri untuk memverifikasi identitas pengguna, yang berasal dari 2012.

Di antara 18 sistem komputer “besar” yang tidak mendapatkan OK yang diperbarui pada kontrol keamanan mereka, laporan itu menyatakan, adalah lima yang dimiliki oleh Kepala Petugas Informasi, dua milik Chief Financial Officer, dan empat sistem yang diwarisi oleh ‘a Biro Investigasi Latar Belakang Nasional yang baru -amal, bagian yang direformasi dari birokrasi yang sekarang bekerja di bawah Departemen Pertahanan.

Salah satu sistem juga dimiliki oleh Kantor Inspektur Jenderal.

Menurut laporan itu, terlepas dari ‘beberapa inisiatif yang sedang berlangsung’, OPM masih belum memiliki inventaris lengkap dari banyak server, basis data, dan perangkat lunaknya, meninggalkan masalah penting tentang bagaimana mereka terkait dengan pertahanan cyber satu sama lain.

Laporan tersebut mencatat bahwa kurangnya apa yang disebutnya ‘sistem inventaris dewasa secara signifikan menghambat upaya OPM yang terkait dengan pengawasan, manajemen risiko dan keamanan sistem informasi agensi.’

Di bagian lain, dokumen tersebut mencatat bahwa bahkan ketika OPM scan muncul kurang dari kelemahan kritis, agensi tidak melakukan upaya untuk memperbaikinya, ‘ada peningkatan risiko yang signifikan bahwa kelemahan ini tidak akan ditangani pada waktunya bukan cara, dan dan bahwa sistem akan tetap rentan terhadap serangan. “

Untuk menyelesaikan masalah – atau setidaknya mengatasinya – laporan audit menawarkan rentetan 26 rekomendasi, dengan catatan di sebelah banyak dari mereka untuk menunjukkan bahwa itu adalah pengulangan rekomendasi yang dibuat bertahun -tahun sebelumnya.

Manajemen agensi setuju dengan hampir semua orang, termasuk sewa staf baru dan stok yang sesuai.

Namun, itu sedikit menggonggong pada proposal yang jelas bahwa Direktur OPM – Penjabat Direktur Beth Colbert – “sedang mempertimbangkan menyimpulkan sistem informasi yang tidak memiliki otorisasi (keamanan) saat ini dan valid.”

Badan itu mengatakan dia memilih untuk membuat ‘keputusan berbasis risiko’ sendiri tentang apakah dia ingin mengoperasikan sistem tanpa persetujuan, dan kemudian mengirim evaluasi kepala OPM untuk ‘keputusan akhir’.

Mungkin ini adalah kemajuan: Inspektur Jenderal membuat proposal pertama pada tahun 2014-tahun cyber-deft-eers yang hebat, tanpa efek yang jelas.

Seorang juru bicara OPM menolak mengomentari sejumlah pertanyaan Fox News tentang audit dan tabel waktu untuk mengikuti berbagai rekomendasi.

Klik di sini untuk laporan audit