在美国政府的人事管理办公室最近披露的数据违反遵循该机构疏于安全的悠久历史,根据检察长的办公室。
在联合众议院小组委员会听证会上作证时,迈克尔·瑟,OPM的助理监察长审计,对议员们说,该机构的“系统性失败的悠久历史,以正确地管理其IT基础设施”可以邀请一对受损超过相关的黑客事件21000000名现任和前任政府雇员的个人信息。
[相关阅读:OPM的官司只会让富律师]
这一数字比最初机构曾预计违约的范围是,这OPM说,它在四月第一次发现大五倍以上。
然后,周五尾盘出现了这个词的该机构的四面楚歌头下台。
埃塞尔说,OPM已在其安全状况有所改善,但在同一时间,他表示无奈地说,许多建议他的办公室在过去几年取得 - 有些可以追溯到2007 - 已基本上被机构内忽略。
“我们很高兴地看到,该机构正在采取措施改善其IT安全状况,但许多挑战依然摆在面前,”咝说。
在战斗OPM面临预算和资源的挑战,以提高IT安全
埃塞尔承认OPM,就像在联邦政府几乎所有其他实体,面临一个具有挑战性的预算环境限制组织的能力,主要承接IT举措,但这只是问题的一部分。
“资源,我想,总是一个问题,但不是唯一的答案。有时候,我们觉得事情,我们报告没有得到重视,他们应该得到的,”埃塞尔说。
议员们指出,OPM的首席信息官都被邀请作证,但由于日程安排冲突有所下降。
但违约行为回荡在整个组织中,上周五把该机构的主任,凯瑟琳Archuleta的辞职。
“我认为,总统认为是它是很清楚,新的领导层,拥有一整套的技能和特有的迫切挑战急需OPM面孔的经验,”白宫新闻秘书乔希·欧内斯特告诉记者,上周五。在每天的白宫新闻发布会上,认真解释说,Archuleta的给了她辞职“她自己的意志。”他赞扬了提升网络安全作为该机构的一个优先事项。
“而且正是因为一些她发起的改革,是摆在首位检测到这种特殊的网络漏洞,”语重心长地说。
贝丝Cobert,谁一直担任OPM的首席履行官,将导演的工作在临时的基础上,而管理搜索一个永久的替代品。
为更好的安全实践监察长推
在此期间,监察长继续努力以OPM到采取措施解决松懈的安全措施他说离开该机构容易受到暴露的数以百万计的姓名,地址,社会保险号码和其他个人信息的大量泄露。
埃塞尔描述了信息的安全性,这是他认为作为一个分散的组织结构的必然副产品不一致的治理框架。该机构已经在这一方面做了一些进步,但还有许多工作要做,他说。
“这是有一个集中的治理结构至关重要,”咝说。“OPM已经在这方面作出改进,但它仍然努力从多年的权力下放中恢复过来。”
此外,他瞄准了评估和授权机制,以确保在机构内部使用的应用程序的安全性。在2014年的审计,埃塞尔的研究小组发现,47 11的主要OPM系统都没有有效的授权规定由OMB标准运作,成为集。
埃塞尔也说,OPM需要改善,如身份验证和配置管理领域的技术安全控制。
OPM,负责监督敏感数据,包括涉及安全许可的联邦工作人员,今天发现自己在政府内部的争论在信息安全的焦点文件,但有业内人士指出,这些问题都很难局限于单一机构。
格雷戈里Wilshusen是信息安全问题在美国政府问责办公室主任。在众议院举行听证会,他问他怎么年级联邦网络安全设备,一般。只有丝毫的犹豫之后,Wilshusen回应,“D”。
“在许多方面有联邦信息安全和一些举措中的改进,但它变得有效地执行这些安全控制和一些超过这被证明具有挑战性的时间一致的行动,”他说。
继OPM数据泄露的启示,白宫宣布,它被称为“网络安全冲刺”,整个联邦政府30天的闪电战,以解决一些最关键的漏洞。然后,上周,管理部门核发的一份情况说明书吹捧的那个节目和其他人专注于网络安全的成功。
Wilshusen信贷管理采取步骤,以提高安全性,并呼吁人们关注的威胁,但他需要发行了最新努力的术语,要求,将嵌入的部门和机构的日常运营中的安全方面的考虑更根本性转变。
“需要,因为威胁每天换将一个监控连续的基础上进行的需要评估和监控安全控制的有效性,” Wilshusen说。“这不是一个短跑 - 这是一场马拉松。”
这个故事,“怎么可能被防止OPM数据泄露”最初发表CIO 。