东方时讯网
据监察长办公室称,政府人事管理办公室(Office of Personnel Management)最近披露的数据泄露事件,是该机构长期以来安全松懈的结果。
证词中联合众议院小组委员会的听证会之前,迈克尔•埃塞尔OPM的助理督察长审核,对国会议员们说,该机构的“历史悠久的系统性失败妥善管理其IT基础设施”可能邀请一对相关的黑客攻击事件,2100万多名现任和前任政府的员工的个人信息。
[相关链接:OPM诉讼只会让律师发财]
这一数字比该机构最初估计的泄露范围高出5倍以上。OPM表示,它是在4月份首次发现这一情况的。
周五晚些时候有消息称,四面楚歌的中情局即将辞职。
Esser说,OPM在安全方面做了一些改进,但与此同时,他对他的办公室多年来提出的许多建议——其中一些建议可以追溯到2007年——在该机构内部基本上被忽视了,他对此表示失望。
Esser说:“我们很高兴地看到,该机构正在采取措施改善其IT安全状况,但前方仍有许多挑战。”
OPM在提高IT安全性的斗争中面临预算和资源方面的挑战
Esser承认,与联邦政府中几乎所有其他实体一样,OPM面临着具有挑战性的预算环境,这种环境限制了组织承担主要IT计划的能力,但这只是问题的一部分。
我认为,资源总是一个问题,但不是唯一的答案。有时我们觉得我们报告的事情没有得到他们应该得到的关注,”Esser说。
议员们指出,OPM的首席信息官曾受邀作证,但因日程安排冲突而拒绝。
不过,这种违反规定的行为已经在整个机构引起了反响,周五,该机构的负责人凯瑟琳·亚克莱塔(Katherine Archuleta)辞职。
白宫新闻秘书Josh Earnest周五告诉记者:“我认为认为,很明显,OPM急需新的领导层,他们拥有应对OPM所面临的紧迫挑战的独特技能和经验。”在每天的白宫新闻发布会上,欧内斯特解释说,亚克莱塔是“自愿”提出辞职的,他还称赞亚克莱塔将网络安全提升为该机构的首要任务。
欧内斯特说:“正是由于她发起的一些改革,这一特定的网络入侵才被发现。”
一直担任OPM首席绩效官的贝丝•考伯特(Beth Cobert)将暂时接替主任一职,与此同时,公司管理层正在寻找一位永久性的替代者。
监察长推动更好的安全措施
与此同时,监察长继续敦促联邦人事管理局采取措施,解决松懈的安全措施。他说,这些措施使联邦人事管理局容易受到大规模入侵的影响,数百万人的姓名、地址、社会安全号码和其他个人信息被泄露。
Esser描述了一个不一致的信息安全治理框架,他认为这是分散的组织结构不可避免的副产品。他说,该机构在这方面已经取得了一些进展,但仍有很多工作要做。
“拥有一个集中的治理结构是至关重要的,”Esser说。“OPM在这方面做了改进,但仍在努力从多年的权力下放中恢复过来。”
此外,他还针对现有的评估和授权机制,以确保机构内正在使用的应用程序的安全性。在2014年的一次审计中,Esser的团队发现47个主要OPM系统中有11个在没有有效授权的情况下运行,这是OMB标准所规定的。
Esser还说,OPM需要改进其在认证和配置管理等领域的技术安全控制。
OPM负责监管敏感数据,包括与联邦工作人员安全许可有关的文件。如今,OPM发现自己成了政府内部信息安全争论的焦点,但内部人士指出,这些问题并不局限于一个机构。
格雷戈里·威尔豪森(Gregory Wilshusen)是政府问责局(U.S. Government Accountability Office)信息安全问题主管。在众议院的听证会上,有人问他如何对联邦网络安全机构进行总体评级。威尔豪森犹豫了一下,回答道:“d。”
他说:“在许多方面,联邦信息安全和一些举措都有所改善,但随着时间的推移,有效实施这些安全控制和一些举措被证明是具有挑战性的。”
在OPM数据泄露事件曝光后,白宫宣布了所谓的“网络安全冲刺”,即在联邦政府内部展开为期30天的闪电战,以解决一些最关键的漏洞。然后,上周,奥巴马政府发布了一份简报,吹嘘该项目以及其他专注于网络安全的项目取得的成功。
Wilshusen赞扬政府采取措施改善安全,并呼吁关注这些威胁,但他对最新努力的术语提出异议,呼吁进行更根本的转变,将安全考虑纳入各部门和机构的日常运作。
“对安全控制有效性的评估和监控需要在持续监控的基础上进行,因为威胁每天都在变化,”Wilshusen说。“这不是短跑,而是马拉松。”