OPM的违约报告:等了很久了

灾难性违反人事管理,其中暴露的超过2200万名现任和前任员工的个人信息,联邦办公室在2015年中期东窗事发。又过了15个月国会完成它的报告

贡献的作家,方案 |

如果你想有,甚至击败网络攻击的机会,你必须要快。

因此,事后看来,联邦政府人事管理办公室(OPM)在黑客窃取了2200多万现任和前任联邦雇员的个人数据(包括在很多情况下详细的安全许可信息和指纹数据)的情况下是失败者的原因就不奇怪了。

据称来自中国的黑客从2012年开始进入OPM系统,但直到2014年3月20日才被发现。2014年5月,另一个黑客组织通过第三方承包商进入了人事管理局,但直到将近一年后才被发现。

上个月,众议院监督和政府改革委员会发布了一份长达241页的报告,报告的标题是:“OPM数据泄露:政府如何在超过一代人的时间里危害我们的国家安全。”

事实上,该报告将打开从高级情报官员一系列的报价,都形成了鲜明的方面宣布如何灾难性违约的影响将是,几十年。

联邦调查局局长詹姆斯·科米(James Comey)谈到了所谓的SF-86表格中包含的信息,该表格用于对雇员进行背景安全审查。

“我的SF-86分别列出每个因为我是18,我曾经住的地方,每一个外国旅行,我曾经考虑,我的家人,他们的地址的,”他说。“所以这不只是我的身份之后,受到影响。我有兄弟姐妹。我有五个孩子。所有这一切都在那里。”

在SF-86还包含可以用来勒索员工在金融史上,投资,逮捕记录,医疗问题,任何药物或酒精问题和其他重大信息。

该报告本身不完全转身迅速要么 - 它花了大约15个月的违约被公开的时候,甚至尽管有很多中包含什么,它已在IT或主流媒体已经覆盖早得多。事实上,有一些在它的引用新闻报道。

此外,还有大量的早期预警有关的部门是多么脆弱了。它没有IT安全人员直到2014年11月2013年的总监察长的报告是直言不讳缺乏基本的安全措施,包括:

  • 缺乏加密功能
  • 没有工人的双因素身份验证即可远程访问系统
  • 服务器和数据库的无库存
  • 缺乏对所有连接到其网络的系统的认识

或者,正如报告所总结的那样,这次入侵以及未能探测和遏制它的原因“在很大程度上是由于疏忽的网络卫生和不充分的安全技术,使得OPM对其系统上的流量的可见性降低。”

一个报告的主要结论之一是,“OPM无法从它的监察长,留意反复建议”开始于2005年。

该机构表示,2014年3月被其称为“黑客X1”的人的发现,“应该敲响了一个高级别的、多机构的国家安全警报,一个复杂的、持续的行动者正在寻求访问OPM的最高价值数据。”

然而,从那以后OPM CIO唐娜K.西摩,一个2015年6月写信给数以百万计的违约受害者说,OPM,“非常认真地对待其责任,保护您的信息”,并提供信用监测服务和身份欺诈保险为“礼貌。”

但是,它遵循的是一个声明,表明OPM不会采取未能保护其任何责任。“在这封信没有什么应该被解释为OPM或任何由本协议或用于任何其他目的所涉事项的美国政府接受责任,”它说。

西摩没有被解雇。她退休过去的这个月,前两天,她如期出现在国会面前谈论违约。OPM的入侵过程中的头,凯瑟琳Archuleta的未正式解雇要么。她于2015年7月辞职从国会的压力之下。

所有这一切都提出了报告本身是否是更多的证据表明政府是达不到保护什么乔尔布伦纳,前国家安全局(NSA)的高级顾问,调用任务的问题是“皇冠上的宝石材料。”

如果国会仅仅是报告出了什么问题就需要一年多的时间,那么官僚机构有什么机会跟上不断演变的网络威胁?

一些安全专家同意报告姗姗来,但指出报告并不是回应。

所有人都同意,正如前国土安全部(DHS)官员斯图尔特·贝克(Stewart Baker)所说的,人事管理局存在“糟糕的安全文化”。

贝克,现在是博客,在世强前情报官员协会(用afio)的董事会成员合伙人补充说,“有人也许应该被解雇越快。”

斯图尔特·贝克

斯图尔特·贝克,博客和合作伙伴的世强

但他和其他人表示,政治可能会拖累任何报告。“这是一项国会调查,”他说。“我相信,行政部门在合作方面很谨慎,所以花了这么长的时间,我并不感到惊讶。”

成立网络安全公司的联邦技术总监约翰·切尔哈特将其与美国国家运输安全委员会(NTSB)的工作方式进行了比较。他说:“任何调查的基本规则之一是,在调查完成之前,不要正式确定原因或追究责任。”“根据人事管理局的报告,可以认为人事管理局采取了美国国家运输安全委员会的方法来调查这次入侵。”

妥协(IOC)的所谓的可操作指标,与私营部门和公共部门的共享,“一旦发现清除公平的过程,”安巴伦 - DiCamillo,战略网络风险投资公司的CTO和美国CERT原主任说:(计算机应急响应小组)。

约翰chirhart

约翰Chirhart他是联邦技术总监,负责维持网络安全

她说:“这份报告没有分享可采取行动的数据,但提供了对导致泄露的活动和缺陷的法医评估。”她还说,像这样的调查“涉及许多移动的部分和利益相关者,很复杂,但作为一个拥有多个监督机构的联邦实体,情况会进一步恶化。”

Cryptzone首席安全官、美国联邦调查局(FBI)纽约市网络犯罪部门前特工里奥•塔代奥(Leo Taddeo)对完成报告所花的时间并不感到意外。他说:“对关键人员的采访可能会被推迟,因为他们正处于试图弥补损失的危机状态。”“安排证人和安排听证会也需要大量时间。”

但至少有一位专家凯文 - Bocek,在Venafi安全战略和威胁情报的副总裁 - 说他是“忐忑”在过了多长时间来完成的报告。

有关:
12 第1页
页面1的2
IT薪资调查:结果是