如何防止OPM數(shù)據(jù)泄露

據(jù)監(jiān)察長(zhǎng)辦公室稱，政府人事管理辦公室(Office of Personnel Management)最近披露的數(shù)據(jù)泄露事件，是該機(jī)構(gòu)長(zhǎng)期以來(lái)安全松懈的結(jié)果。

證詞中聯(lián)合眾議院小組委員會(huì)的聽證會(huì)之前,邁克爾?埃塞爾OPM的助理督察長(zhǎng)審核,對(duì)國(guó)會(huì)議員們說(shuō),該機(jī)構(gòu)的“歷史悠久的系統(tǒng)性失敗妥善管理其IT基礎(chǔ)設(shè)施”可能邀請(qǐng)一對(duì)相關(guān)的黑客攻擊事件,2100萬(wàn)多名現(xiàn)任和前任政府的員工的個(gè)人信息。

[相關(guān)鏈接:OPM訴訟只會(huì)讓律師發(fā)財(cái)]

這一數(shù)字比該機(jī)構(gòu)最初估計(jì)的泄露范圍高出5倍以上。OPM表示，它是在4月份首次發(fā)現(xiàn)這一情況的。

周五晚些時(shí)候有消息稱，四面楚歌的中情局即將辭職。

Esser說(shuō)，OPM在安全方面做了一些改進(jìn)，但與此同時(shí)，他對(duì)他的辦公室多年來(lái)提出的許多建議——其中一些建議可以追溯到2007年——在該機(jī)構(gòu)內(nèi)部基本上被忽視了，他對(duì)此表示失望。

Esser說(shuō):“我們很高興地看到，該機(jī)構(gòu)正在采取措施改善其IT安全狀況，但前方仍有許多挑戰(zhàn)?！?/p>

OPM在提高IT安全性的斗爭(zhēng)中面臨預(yù)算和資源方面的挑戰(zhàn)

Esser承認(rèn)，與聯(lián)邦政府中幾乎所有其他實(shí)體一樣，OPM面臨著具有挑戰(zhàn)性的預(yù)算環(huán)境，這種環(huán)境限制了組織承擔(dān)主要IT計(jì)劃的能力，但這只是問(wèn)題的一部分。

我認(rèn)為，資源總是一個(gè)問(wèn)題，但不是唯一的答案。有時(shí)我們覺得我們報(bào)告的事情沒有得到他們應(yīng)該得到的關(guān)注，”Esser說(shuō)。

議員們指出，OPM的首席信息官曾受邀作證，但因日程安排沖突而拒絕。

不過(guò)，這種違反規(guī)定的行為已經(jīng)在整個(gè)機(jī)構(gòu)引起了反響，周五，該機(jī)構(gòu)的負(fù)責(zé)人凱瑟琳·亞克萊塔(Katherine Archuleta)辭職。

白宮新聞秘書Josh Earnest周五告訴記者:“我認(rèn)為認(rèn)為，很明顯，OPM急需新的領(lǐng)導(dǎo)層，他們擁有應(yīng)對(duì)OPM所面臨的緊迫挑戰(zhàn)的獨(dú)特技能和經(jīng)驗(yàn)?！痹诿刻斓陌讓m新聞發(fā)布會(huì)上，歐內(nèi)斯特解釋說(shuō)，亞克萊塔是“自愿”提出辭職的，他還稱贊亞克萊塔將網(wǎng)絡(luò)安全提升為該機(jī)構(gòu)的首要任務(wù)。

歐內(nèi)斯特說(shuō):“正是由于她發(fā)起的一些改革，這一特定的網(wǎng)絡(luò)入侵才被發(fā)現(xiàn)。”

一直擔(dān)任OPM首席績(jī)效官的貝絲?考伯特(Beth Cobert)將暫時(shí)接替主任一職，與此同時(shí)，公司管理層正在尋找一位永久性的替代者。

監(jiān)察長(zhǎng)推動(dòng)更好的安全措施

與此同時(shí)，監(jiān)察長(zhǎng)繼續(xù)敦促聯(lián)邦人事管理局采取措施，解決松懈的安全措施。他說(shuō)，這些措施使聯(lián)邦人事管理局容易受到大規(guī)模入侵的影響，數(shù)百萬(wàn)人的姓名、地址、社會(huì)安全號(hào)碼和其他個(gè)人信息被泄露。

Esser描述了一個(gè)不一致的信息安全治理框架，他認(rèn)為這是分散的組織結(jié)構(gòu)不可避免的副產(chǎn)品。他說(shuō)，該機(jī)構(gòu)在這方面已經(jīng)取得了一些進(jìn)展，但仍有很多工作要做。

“擁有一個(gè)集中的治理結(jié)構(gòu)是至關(guān)重要的，”Esser說(shuō)。“OPM在這方面做了改進(jìn)，但仍在努力從多年的權(quán)力下放中恢復(fù)過(guò)來(lái)?！?/p>

此外，他還針對(duì)現(xiàn)有的評(píng)估和授權(quán)機(jī)制，以確保機(jī)構(gòu)內(nèi)正在使用的應(yīng)用程序的安全性。在2014年的一次審計(jì)中，Esser的團(tuán)隊(duì)發(fā)現(xiàn)47個(gè)主要OPM系統(tǒng)中有11個(gè)在沒有有效授權(quán)的情況下運(yùn)行，這是OMB標(biāo)準(zhǔn)所規(guī)定的。

Esser還說(shuō)，OPM需要改進(jìn)其在認(rèn)證和配置管理等領(lǐng)域的技術(shù)安全控制。

OPM負(fù)責(zé)監(jiān)管敏感數(shù)據(jù)，包括與聯(lián)邦工作人員安全許可有關(guān)的文件。如今，OPM發(fā)現(xiàn)自己成了政府內(nèi)部信息安全爭(zhēng)論的焦點(diǎn)，但內(nèi)部人士指出，這些問(wèn)題并不局限于一個(gè)機(jī)構(gòu)。

格雷戈里·威爾豪森(Gregory Wilshusen)是政府問(wèn)責(zé)局(U.S. Government Accountability Office)信息安全問(wèn)題主管。在眾議院的聽證會(huì)上，有人問(wèn)他如何對(duì)聯(lián)邦網(wǎng)絡(luò)安全機(jī)構(gòu)進(jìn)行總體評(píng)級(jí)。威爾豪森猶豫了一下，回答道:“d?！?/p>

他說(shuō):“在許多方面，聯(lián)邦信息安全和一些舉措都有所改善，但隨著時(shí)間的推移，有效實(shí)施這些安全控制和一些舉措被證明是具有挑戰(zhàn)性的?！?/p>

在OPM數(shù)據(jù)泄露事件曝光后，白宮宣布了所謂的“網(wǎng)絡(luò)安全沖刺”，即在聯(lián)邦政府內(nèi)部展開為期30天的閃電戰(zhàn)，以解決一些最關(guān)鍵的漏洞。然后，上周，奧巴馬政府發(fā)布了一份簡(jiǎn)報(bào)，吹噓該項(xiàng)目以及其他專注于網(wǎng)絡(luò)安全的項(xiàng)目取得的成功。

Wilshusen贊揚(yáng)政府采取措施改善安全，并呼吁關(guān)注這些威脅，但他對(duì)最新努力的術(shù)語(yǔ)提出異議，呼吁進(jìn)行更根本的轉(zhuǎn)變，將安全考慮納入各部門和機(jī)構(gòu)的日常運(yùn)作。

“對(duì)安全控制有效性的評(píng)估和監(jiān)控需要在持續(xù)監(jiān)控的基礎(chǔ)上進(jìn)行，因?yàn)橥{每天都在變化，”Wilshusen說(shuō)。“這不是短跑，而是馬拉松?！?/p>