说到保护你的私人信息,美国政府还有很长的路要走。一个政府问责局报告上周发现,在24家机构中,只有2家实施了管理和预算办公室(Office of Management and Budget)去年要求的保护个人信息的所有安全要求。
根据政府问责局的报告财政部和交通部实施了最强的安全措施,而国家科学基金会和中小企业管理局是最糟糕的。《华盛顿邮报》今天的一篇报道指出,自从美国政府问责局(GAO)去年秋天调查以来,SBA和NSF已经实施了更强有力的安全措施。
具体来说,OMB表示,所有机构都必须:
•加密携带机构数据的移动电脑或设备上的所有数据,除非数据被确定为不敏感;
•允许远程访问仅通过双因素认证,其中一个因素是由与获取访问的计算机分离的设备提供的;
•强制远程访问和移动设备的“超时”功能,要求用户在30分钟不活动后重新验证;和
•记录从保存敏感信息的数据库中提取计算机可读数据的所有实例,并验证包括敏感数据在内的每次提取都在90天内被擦除或仍然需要使用。
OMB还建议使用nist提供的清单来保护远程信息。
然而,并不是所有的机构都未能实现这些安全要求。政府问责局表示,在接受调查的24家主要机构中,有22家制定了政策,要求对移动电脑和设备上的个人身份信息进行加密。在24家机构中,有15家机构规定,远程访问和移动设备需要使用“超时”功能,用户在不活动30分钟后需要重新认证。更少的机构(11个)制定了政策,记录从持有敏感信息的数据库中提取的计算机可读数据,并在提取后90天内删除这些数据。一些机构表示,它们正在研究解决这些问题的技术解决方案。政府问责局补充说,政策和程序上的缺陷降低了机构保护个人身份信息不被不当披露的能力。
的联邦政府已经出现了明显曝光个人身份信息的记录。根据一份2006年的国会工作人员报告,自2003年1月以来,19个部门和机构报告了至少一次个人身份信息的丢失,这可能使个人面临身份盗窃。
根据政府问责局的报告,联邦机构的一系列数据泄露包括系统入侵、网络钓鱼诈骗、便携式电脑、硬盘和磁盘的物理损失或盗窃。在2006财政年度,联邦机构向美国政府报告了创纪录的事故数量美国计算机应急准备小组(us - cert)。例如,2006年有5,146起事故报告,比2005年的3,569起大幅增加。在此期间,US-CERT记录了物理损失或盗窃或系统泄露导致个人身份信息丢失的事件急剧增加。
本报告遵循GAO在1月份的报告中说国税局它有“持续存在的信息安全弱点,使[它]面临中断、欺诈或敏感信息不适当披露的风险。”该报告称,该机构在2007年收税约2.7万亿美元,仅修复了去年3月发布的一份报告中确定的98个信息安全漏洞中的29个。
图层8在一个盒子里
看看其他热门话题: