กระทรวงความมั่นคงแห่งมาตุภูมิได้เรียกใช้โปรแกรมที่ละเอียดอ่อนหรือเป็นความลับสุดยอดมากกว่า 100 รายการโดยไม่ได้รับอนุญาตที่เหมาะสม รายงานการเฝ้าระวังพบ ทำให้หน่วยงานมีความเสี่ยงต่อแฮ็กเกอร์จากการตรวจสอบแนวปฏิบัติด้านความปลอดภัยข้อมูลของหน่วยงาน สำนักงานผู้ตรวจการทั่วไปของ DHS กล่าวว่า แผนกได้เรียกใช้โปรแกรม 136 โปรแกรม ซึ่งบางโปรแกรมจัดอยู่ในประเภท “ลับสุดยอด” และเป็นความลับ โดยผ่านการอนุญาตที่หมดอายุแล้ว
“หากไม่แก้ไขข้อบกพร่องเหล่านี้ กรมฯ ก็ไม่สามารถรับประกันได้
ว่าระบบของตนจะปลอดภัยอย่างเหมาะสมเพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่จัดเก็บและประมวลผลในนั้น” สำนักงานผู้ตรวจราชการทั่วไปกล่าวในรายงาน
ในจดหมายถึงหน่วยงาน CIO Jeffery Eisensmith สำนักงานของผู้ตรวจการทั่วไปสรุปว่า แม้ว่า DHS ได้พัฒนานิสัยการรักษาความปลอดภัยทางไซเบอร์ในเชิงบวก แต่ก็ล้มเหลวในการรายงานข้อมูลเกี่ยวกับระบบที่เป็นความลับไปยังสำนักงานการจัดการและงบประมาณ ซึ่งตรวจสอบการปฏิบัติตาม FISMA
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
รายงานพบว่าหน่วยยามฝั่งรายงานบันทึกของตนอย่างไม่ถูกต้องเกี่ยวกับ การ ปฏิบัติตามการรับรองความถูกต้องด้วยสองปัจจัย กับหน่วยงานระบบสารสนเทศกลาโหม แทนที่จะเป็น DHS
รายงานระบุว่าองค์ประกอบ DHS เจ็ดส่วน รวมถึงหน่วยงานจัดการเหตุฉุกเฉินของรัฐบาลกลางและกรมศุลกากรและการป้องกันชายแดน บรรลุเป้าหมายการวิ่งทางไซเบอร์ของOMBในการกำหนดให้พนักงานใช้บัตรยืนยันตัวตนส่วนบุคคล (PIV) เพื่อเข้าสู่ระบบเพื่อเข้าถึงบันทึกของหน่วยงาน
จำนวนระบบคอมโพเนนต์ที่ทำงานโดยไม่ได้รับอนุญาตที่ถูกต้อง
ส่วนประกอบ จำนวนของระบบ
ลูกค้าและการป้องกันชายแดน 14
สำนักงานใหญ่ DHS 11
สำนักงานจัดการเหตุฉุกเฉินกลาง (FEMA) 25
ศูนย์ฝึกอบรมการบังคับใช้กฎหมายของรัฐบาลกลาง 4
การตรวจคนเข้าเมืองและการบังคับใช้กฎหมายศุลกากร (ICE) 7
คณะกรรมการคุ้มครองและโครงการแห่งชาติ 10
วิทยาศาสตร์และเทคโนโลยี 7
กองอำนวยการรักษาความปลอดภัยการขนส่ง 10
ยามชายฝั่ง 26
บริการตรวจคนเข้าเมืองและสัญชาติ 3
หน่วยสืบราชการลับ 2
DHS เห็นด้วยกับคำแนะนำห้าข้อจากหกข้อของรายงาน:
1. ตั้งค่ากระบวนการที่เจ้าหน้าที่ระดับสูงของ DHS จะได้รับแจ้งเมื่อมีการดำเนินการเพื่อปรับปรุงโปรแกรมการรักษาความปลอดภัยข้อมูลที่ล้าหลัง เจ้าหน้าที่ระดับสูงของ DHS ควรได้รับแจ้งเมื่อส่วนประกอบไม่สามารถรายงานบันทึกการปฏิบัติตามข้อกำหนดภายใต้ FISMA
2. ปรับปรุงกระบวนการรายงาน FISMA เพื่อให้แน่ใจว่าข้อมูลระบบที่เป็นความลับของ DHS จะรวมอยู่ใน Scorecard ด้านความปลอดภัยข้อมูลรายเดือนของหน่วยงาน และส่งไปยัง OMB
3. เสริมสร้างการกำกับดูแลของ DHS สำหรับโปรแกรมการรักษาความปลอดภัยข้อมูลของคอมโพเนนต์เพื่อให้แน่ใจว่าปฏิบัติตามข้อกำหนด FISMA ตลอดทั้งปี
4. เสริมสร้างการกำกับดูแลสำนักงานรักษาความปลอดภัยข้อมูลเพื่อให้แน่ใจว่าส่วนประกอบรักษาแผนปฏิบัติการและเหตุการณ์สำคัญในระบบการจัดการองค์กรที่จัดประเภทและไม่จัดประเภทของ DHS
อ่านเพิ่มเติม: การกำกับดูแลหน่วยงาน
5. ดำเนินการตรวจสอบคุณภาพเพื่อให้แน่ใจว่าข้อมูลในโปรแกรมรักษาความปลอดภัยข้อมูลมีความถูกต้อง
6. ตรวจสอบให้แน่ใจว่าข้อมูลที่รายงานใน Scorecard ประจำเดือนของ DHS นั้นถูกต้อง
หน่วยงานไม่เห็นด้วยกับข้อเสนอแนะ #2 เนื่องจากข้อมูลระบบที่เป็นความลับนั้นอยู่ภายใต้ขั้นตอนการเปิดเผยที่แตกต่างกัน
