Watchdog พบว่าระบบ DHS ที่ละเอียดอ่อนมีความเสี่ยงต่อแฮ็กเกอร์

Watchdog พบว่าระบบ DHS ที่ละเอียดอ่อนมีความเสี่ยงต่อแฮ็กเกอร์

กระทรวงความมั่นคงแห่งมาตุภูมิได้เรียกใช้โปรแกรมที่ละเอียดอ่อนหรือเป็นความลับสุดยอดมากกว่า 100 รายการโดยไม่ได้รับอนุญาตที่เหมาะสม รายงานการเฝ้าระวังพบ ทำให้หน่วยงานมีความเสี่ยงต่อแฮ็กเกอร์จากการตรวจสอบแนวปฏิบัติด้านความปลอดภัยข้อมูลของหน่วยงาน สำนักงานผู้ตรวจการทั่วไปของ DHS กล่าวว่า แผนกได้เรียกใช้โปรแกรม 136 โปรแกรม ซึ่งบางโปรแกรมจัดอยู่ในประเภท “ลับสุดยอด” และเป็นความลับ โดยผ่านการอนุญาตที่หมดอายุแล้ว

“หากไม่แก้ไขข้อบกพร่องเหล่านี้ กรมฯ ก็ไม่สามารถรับประกันได้

ว่าระบบของตนจะปลอดภัยอย่างเหมาะสมเพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่จัดเก็บและประมวลผลในนั้น” สำนักงานผู้ตรวจราชการทั่วไปกล่าวในรายงาน

ในจดหมายถึงหน่วยงาน CIO Jeffery Eisensmith สำนักงานของผู้ตรวจการทั่วไปสรุปว่า แม้ว่า DHS ได้พัฒนานิสัยการรักษาความปลอดภัยทางไซเบอร์ในเชิงบวก แต่ก็ล้มเหลวในการรายงานข้อมูลเกี่ยวกับระบบที่เป็นความลับไปยังสำนักงานการจัดการและงบประมาณ ซึ่งตรวจสอบการปฏิบัติตาม FISMA

        ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย

รายงานพบว่าหน่วยยามฝั่งรายงานบันทึกของตนอย่างไม่ถูกต้องเกี่ยวกับ  การ ปฏิบัติตามการรับรองความถูกต้องด้วยสองปัจจัย  กับหน่วยงานระบบสารสนเทศกลาโหม แทนที่จะเป็น DHS

รายงานระบุว่าองค์ประกอบ DHS เจ็ดส่วน รวมถึงหน่วยงานจัดการเหตุฉุกเฉินของรัฐบาลกลางและกรมศุลกากรและการป้องกันชายแดน บรรลุเป้าหมายการวิ่งทางไซเบอร์ของOMBในการกำหนดให้พนักงานใช้บัตรยืนยันตัวตนส่วนบุคคล (PIV) เพื่อเข้าสู่ระบบเพื่อเข้าถึงบันทึกของหน่วยงาน

 จำนวนระบบคอมโพเนนต์ที่ทำงานโดยไม่ได้รับอนุญาตที่ถูกต้อง

ส่วนประกอบ จำนวนของระบบ

ลูกค้าและการป้องกันชายแดน 14

 สำนักงานใหญ่ DHS 11

สำนักงานจัดการเหตุฉุกเฉินกลาง (FEMA) 25

ศูนย์ฝึกอบรมการบังคับใช้กฎหมายของรัฐบาลกลาง 4

การตรวจคนเข้าเมืองและการบังคับใช้กฎหมายศุลกากร (ICE) 7

คณะกรรมการคุ้มครองและโครงการแห่งชาติ 10

วิทยาศาสตร์และเทคโนโลยี 7

กองอำนวยการรักษาความปลอดภัยการขนส่ง 10

ยามชายฝั่ง 26

บริการตรวจคนเข้าเมืองและสัญชาติ 3

หน่วยสืบราชการลับ 2

DHS เห็นด้วยกับคำแนะนำห้าข้อจากหกข้อของรายงาน:

1. ตั้งค่ากระบวนการที่เจ้าหน้าที่ระดับสูงของ DHS จะได้รับแจ้งเมื่อมีการดำเนินการเพื่อปรับปรุงโปรแกรมการรักษาความปลอดภัยข้อมูลที่ล้าหลัง เจ้าหน้าที่ระดับสูงของ DHS ควรได้รับแจ้งเมื่อส่วนประกอบไม่สามารถรายงานบันทึกการปฏิบัติตามข้อกำหนดภายใต้ FISMA

2. ปรับปรุงกระบวนการรายงาน FISMA เพื่อให้แน่ใจว่าข้อมูลระบบที่เป็นความลับของ DHS จะรวมอยู่ใน Scorecard ด้านความปลอดภัยข้อมูลรายเดือนของหน่วยงาน และส่งไปยัง OMB

3. เสริมสร้างการกำกับดูแลของ DHS สำหรับโปรแกรมการรักษาความปลอดภัยข้อมูลของคอมโพเนนต์เพื่อให้แน่ใจว่าปฏิบัติตามข้อกำหนด FISMA ตลอดทั้งปี

4. เสริมสร้างการกำกับดูแลสำนักงานรักษาความปลอดภัยข้อมูลเพื่อให้แน่ใจว่าส่วนประกอบรักษาแผนปฏิบัติการและเหตุการณ์สำคัญในระบบการจัดการองค์กรที่จัดประเภทและไม่จัดประเภทของ DHS

        อ่านเพิ่มเติม: การกำกับดูแลหน่วยงาน

5. ดำเนินการตรวจสอบคุณภาพเพื่อให้แน่ใจว่าข้อมูลในโปรแกรมรักษาความปลอดภัยข้อมูลมีความถูกต้อง

6. ตรวจสอบให้แน่ใจว่าข้อมูลที่รายงานใน Scorecard ประจำเดือนของ DHS นั้นถูกต้อง

หน่วยงานไม่เห็นด้วยกับข้อเสนอแนะ #2 เนื่องจากข้อมูลระบบที่เป็นความลับนั้นอยู่ภายใต้ขั้นตอนการเปิดเผยที่แตกต่างกัน

ยูฟ่าสล็อต