如何防止OPM數(shù)據(jù)泄露

據(jù)監(jiān)察長辦公室稱，政府人事管理辦公室(Office of Personnel Management)最近披露的數(shù)據(jù)泄露事件，是該機構長期以來安全松懈的結果。

證詞中聯(lián)合眾議院小組委員會的聽證會之前,邁克爾?埃塞爾OPM的助理督察長審核,對國會議員們說,該機構的“歷史悠久的系統(tǒng)性失敗妥善管理其IT基礎設施”可能邀請一對相關的黑客攻擊事件,2100萬多名現(xiàn)任和前任政府的員工的個人信息。

[相關鏈接:OPM訴訟只會讓律師發(fā)財]

這一數(shù)字比該機構最初估計的泄露范圍高出5倍以上。OPM表示，它是在4月份首次發(fā)現(xiàn)這一情況的。

周五晚些時候有消息稱，四面楚歌的中情局即將辭職。

Esser說，OPM在安全方面做了一些改進，但與此同時，他對他的辦公室多年來提出的許多建議——其中一些建議可以追溯到2007年——在該機構內部基本上被忽視了，他對此表示失望。

Esser說:“我們很高興地看到，該機構正在采取措施改善其IT安全狀況，但前方仍有許多挑戰(zhàn)?！?/p>

OPM在提高IT安全性的斗爭中面臨預算和資源方面的挑戰(zhàn)

Esser承認，與聯(lián)邦政府中幾乎所有其他實體一樣，OPM面臨著具有挑戰(zhàn)性的預算環(huán)境，這種環(huán)境限制了組織承擔主要IT計劃的能力，但這只是問題的一部分。

我認為，資源總是一個問題，但不是唯一的答案。有時我們覺得我們報告的事情沒有得到他們應該得到的關注，”Esser說。

議員們指出，OPM的首席信息官曾受邀作證，但因日程安排沖突而拒絕。

不過，這種違反規(guī)定的行為已經(jīng)在整個機構引起了反響，周五，該機構的負責人凱瑟琳·亞克萊塔(Katherine Archuleta)辭職。

白宮新聞秘書Josh Earnest周五告訴記者:“我認為認為，很明顯，OPM急需新的領導層，他們擁有應對OPM所面臨的緊迫挑戰(zhàn)的獨特技能和經(jīng)驗?！痹诿刻斓陌讓m新聞發(fā)布會上，歐內斯特解釋說，亞克萊塔是“自愿”提出辭職的，他還稱贊亞克萊塔將網(wǎng)絡安全提升為該機構的首要任務。

歐內斯特說:“正是由于她發(fā)起的一些改革，這一特定的網(wǎng)絡入侵才被發(fā)現(xiàn)?！?/p>

一直擔任OPM首席績效官的貝絲?考伯特(Beth Cobert)將暫時接替主任一職，與此同時，公司管理層正在尋找一位永久性的替代者。

監(jiān)察長推動更好的安全措施

與此同時，監(jiān)察長繼續(xù)敦促聯(lián)邦人事管理局采取措施，解決松懈的安全措施。他說，這些措施使聯(lián)邦人事管理局容易受到大規(guī)模入侵的影響，數(shù)百萬人的姓名、地址、社會安全號碼和其他個人信息被泄露。

Esser描述了一個不一致的信息安全治理框架，他認為這是分散的組織結構不可避免的副產(chǎn)品。他說，該機構在這方面已經(jīng)取得了一些進展，但仍有很多工作要做。

“擁有一個集中的治理結構是至關重要的，”Esser說?！癘PM在這方面做了改進，但仍在努力從多年的權力下放中恢復過來?！?/p>

此外，他還針對現(xiàn)有的評估和授權機制，以確保機構內正在使用的應用程序的安全性。在2014年的一次審計中，Esser的團隊發(fā)現(xiàn)47個主要OPM系統(tǒng)中有11個在沒有有效授權的情況下運行，這是OMB標準所規(guī)定的。

Esser還說，OPM需要改進其在認證和配置管理等領域的技術安全控制。

OPM負責監(jiān)管敏感數(shù)據(jù)，包括與聯(lián)邦工作人員安全許可有關的文件。如今，OPM發(fā)現(xiàn)自己成了政府內部信息安全爭論的焦點，但內部人士指出，這些問題并不局限于一個機構。

格雷戈里·威爾豪森(Gregory Wilshusen)是政府問責局(U.S. Government Accountability Office)信息安全問題主管。在眾議院的聽證會上，有人問他如何對聯(lián)邦網(wǎng)絡安全機構進行總體評級。威爾豪森猶豫了一下，回答道:“d?！?/p>

他說:“在許多方面，聯(lián)邦信息安全和一些舉措都有所改善，但隨著時間的推移，有效實施這些安全控制和一些舉措被證明是具有挑戰(zhàn)性的。”

在OPM數(shù)據(jù)泄露事件曝光后，白宮宣布了所謂的“網(wǎng)絡安全沖刺”，即在聯(lián)邦政府內部展開為期30天的閃電戰(zhàn)，以解決一些最關鍵的漏洞。然后，上周，奧巴馬政府發(fā)布了一份簡報，吹噓該項目以及其他專注于網(wǎng)絡安全的項目取得的成功。

Wilshusen贊揚政府采取措施改善安全，并呼吁關注這些威脅，但他對最新努力的術語提出異議，呼吁進行更根本的轉變，將安全考慮納入各部門和機構的日常運作。

“對安全控制有效性的評估和監(jiān)控需要在持續(xù)監(jiān)控的基礎上進行，因為威脅每天都在變化，”Wilshusen說?！斑@不是短跑，而是馬拉松?！?/p>