ดาวน์โหลดเสียงผู้เชี่ยวชาญด้านไซเบอร์ของรัฐบาลกลางกำลังเพิ่มโอกาสที่พนักงานของรัฐบาลกลางอีกหลายหมื่นคนอาจเสี่ยงต่อการถูกขโมยข้อมูลประจำตัวมากกว่าที่มีการรายงานครั้งแรกหลังจากการละเมิดทางไซเบอร์ของ USIS ในเดือนสิงหาคมในขณะที่ข้อมูลส่วนใหญ่ถูกจัดประเภท ตัวแทน Elijah Cummings (D-Md.) กล่าวว่าขณะนี้มีเหตุผลที่จะเชื่อว่าการประมาณการเบื้องต้นของ 27,000 feds ที่ได้รับผลกระทบจากการละเมิดข้อมูลในเดือนสิงหาคมที่ USIS นั้นผิดพลาด
“เห็นได้ชัดว่า ความปรารถนาของบริษัทในการเพิ่มผลกำไร
อาจเป็นโทษสำหรับความล้มเหลวในการลงทุนทางไซเบอร์ที่จำเป็นเพื่อรักษาความปลอดภัยข้อมูลส่วนบุคคลที่ละเอียดอ่อนจำนวนมากที่ควรได้รับการปกป้องบนเครือข่าย” คัมมิงส์กล่าวระหว่างการกำกับดูแลและการปฏิรูปของรัฐบาล คณะกรรมการพิจารณาวันพุธ “เมื่อวันที่ 3 กันยายน 2014 เจ้าหน้าที่ของคณะกรรมการได้รับการบรรยายสรุปจากผู้เชี่ยวชาญด้านความปลอดภัยที่ Department of Homeland Security, Office of the Director of National Intelligence และ OPM ซึ่งทุกคนได้วิเคราะห์การโจมตีทางไซเบอร์ต่อ USIS แม้ว่าการบรรยายสรุปส่วนใหญ่จะเป็นเรื่องละเอียดอ่อน แต่ประเด็นหนึ่งอาจถูกกล่าวถึงในที่สาธารณะ บัญชีสื่อได้รายงานในตอนแรกว่าการโจมตีอาจละเมิดข้อมูลส่วนบุคคลของพนักงานของรัฐบาลกลางมากถึง 27,000 คน อย่างไรก็ตาม
แฮ็กเกอร์เจาะเข้าไปในเครือข่าย USIS และเปิดโปงข้อมูลประจำตัวของพนักงานแผนกความมั่นคงแห่งมาตุภูมิอย่างน้อย 27,000 คนในเดือนสิงหาคม 2014
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
คัมมิงส์กล่าวว่าการสืบสวนการละเมิดข้อมูลเป็นสิ่งที่ท้าทายเป็นพิเศษ เนื่องจาก USIS และบริษัทแม่อย่าง Altegrity ยังไม่ตอบสนองต่อคำร้องขอของคณะกรรมการเพื่อขอข้อมูลเพิ่มเติม
US-CERT จำกัด โดยผู้ขาย
ในความเป็นจริง Donna Seymour หัวหน้าเจ้าหน้าที่บริหารงานบุคคลของ Office of Personnel กล่าวว่า USIS อนุญาตให้ทีมเตรียมพร้อมฉุกเฉินทางคอมพิวเตอร์ของ DHS (US-CERT) ของ DHS เข้าถึงเครือข่ายได้อย่างจำกัดเพื่อระบุช่องโหว่และแนะนำการปรับปรุง ซีมัวร์ใช้ตัวอย่างนี้เพื่อแสดงให้เห็นว่าการเข้าถึง US-CERT มีมากเพียงใด “ถ้าคุณขอให้ฉันรักษาความปลอดภัยอาคารอพาร์ตเมนต์ แต่คุณอนุญาตให้ฉันเข้าไปในอพาร์ทเมนท์สองห้องเท่านั้น ฉันไม่สามารถบอกคุณได้ว่ามีอะไรอยู่ในอพาร์ทเมนท์อื่นๆ เหล่านั้น แต่ เห็นได้ชัดว่าพวกเขาเป็นส่วนหนึ่งของอาคารที่คุณขอให้ฉันรักษาความปลอดภัย เราไม่สามารถไปที่ขอบเขตของเครือข่ายได้”
หลังจากการพิจารณาคดี คัมมิงส์เสนอรายละเอียดอื่นๆ อีกเล็กน้อยเกี่ยวกับจำนวนพนักงานที่มีความเสี่ยง
“เราจะตรวจสอบต่อไป พยายามหาข้อมูลให้มากที่สุดเท่าที่จะทำได้ เร็วที่สุดเท่าที่จะทำได้ และการปกป้องพวกเขาเป็นสิ่งสำคัญที่สุด” เขากล่าว
Altegrity ยื่นฟ้องล้มละลายสำหรับ USIS ในเดือนกุมภาพันธ์ ส่วนหนึ่งเป็นเพราะสูญเสียสัญญาการกวาดล้างความปลอดภัย OPM
คัมมิงส์กล่าวว่าคณะกรรมการยังคงสอบสวนทั้ง USIS และการละเมิดทางไซเบอร์ของ KeyPoint การละเมิด KeyPointส่งผลกระทบต่อพนักงานของรัฐบาลกลาง 48,000 คนและเผยแพร่สู่สาธารณะในเดือนธันวาคม Cummings เขียนจดหมายถึง KeyPoint เพื่อขอให้มั่นใจว่าพวกเขาปกป้องข้อมูลของรัฐบาลกลางอย่างไร
คัมมิงส์กล่าวว่าเขากำลังพิจารณาว่า Altegrity อาจฟ้องร้องรัฐบาลเกี่ยวกับการตัดสินใจของ OPM ที่จะยุติสัญญา USIS หรือไม่ความไม่ลงรอยกันที่สำคัญสองประการ
ในแง่ของการละเมิดทั้งสองนี้และหน่วยงานอื่น ๆ ที่ได้รับผลกระทบ สำนักงานการจัดการและงบประมาณได้เริ่มทบทวนโดยรัฐบาลว่าหน่วยงานต่างๆ จำเป็นต้องตรวจสอบให้แน่ใจว่าผู้รับเหมากำลังปกป้องข้อมูลของรัฐบาลบนเครือข่ายของตนอย่างไร
President’s Management Council (PMC) ซึ่งประกอบด้วยรองเลขาธิการ ประเมินความเสี่ยงที่หลากหลายในการตอบสนอง ตรวจจับ และระบุภัยคุกคามและเหตุการณ์ต่างๆ ของหน่วยงานต่างๆ
“ระหว่างการตอบสนองต่อเหตุการณ์เหล่านี้และการทบทวนในภายหลัง มีสองสิ่งที่ชัดเจน ประการแรก ผู้รับเหมาและผู้ขายที่เป็นบุคคลที่สามใช้การป้องกันข้อมูลที่ละเอียดอ่อนอย่างไม่สอดคล้องกัน ประการที่สอง หน่วยงานของรัฐบาลกลางไม่มีภาษาของผู้รับเหมาและทิศทางนโยบายเพียงพอที่จะเป็นแนวทางว่าผู้รับเหมาและหน่วยงานควรตอบสนองต่อเหตุการณ์อย่างไร” โทนี่ สก็อตต์ CIO ของรัฐบาลกลางกล่าว “จากการทบทวนนี้ หน่วยงานต่างๆ ได้รับมอบหมายให้ระบุและทบทวนสัญญาที่เกี่ยวข้องเพื่อให้แน่ใจว่าสอดคล้องกับกฎหมายปัจจุบันและคำแนะนำของ OMB ประการที่สอง OMB กำกับความ
