国务院和其他 3 个美国机构在网络安全方面获得 D

在美国参议院委员会周二发布的一份报告中，八个联邦机构的网络安全非常糟糕，其中四个获得了 D 级，三个获得了 C，只有一个获得了 B。 “很明显，委托给这八个关键机构的数据仍然存在风险，”这份长达 47 页的报告称。 “随着国家资助和其他方面的黑客变得越来越老练和顽固，国会和行政部门不能继续允许 PII 和国家安全机密保持脆弱。”这份由参议院国土安全和政府事务委员会发布的报告是在一份单独的报告发现相同的八个联邦机构在遵守联邦网络安全标准方面存在系统性失败两年之后发布的。较早的报告发现，在 2008 年至 2018 年的十年间，这些机构未能妥善保护个人身份信息，维护机构网络上使用的所有硬件和软件的清单，并及时安装供应商提供的安全补丁。 2019 年的报告还强调，这些机构正在运行维护成本高且难以保护的遗留系统。所有八个机构——包括社会保障管理局和国土安全部、州、交通、住房和城市发展部、农业、卫生和公共服务部以及教育部——都未能保护他们存储或维护的敏感信息。周二题为《联邦网络安全：美国的数据仍处于风险中》的报告分析了同一机构在 2020 年的安全实践。它发现去年只有一个机构的网络安全实践获得了 B 级。 “这份报告的发现很明显，”作者写道。 “监察长发现了许多困扰联邦机构十多年的相同问题。七个机构的改进微乎其微，只有国土安全部设法在 2020 年采用了有效的网络安全制度。因此，本报告发现，这七个联邦机构仍未达到保护美国敏感数据所需的基本网络安全标准。”审计人员发现，国务院系统经常在未经授权的情况下运行，运行不再受支持的软件（包括 Microsoft Windows），并且未能及时安装安全补丁。

该部门的用户管理系统受到了特别的批评，因为官员无法为有权访问该部门机密网络的 60% 的样本员工提供用户访问协议的文件。该网络包含的数据如果泄露给未经授权的人，可能会对国家安全造成“严重损害”。也许更令人不安的是，在其机密和敏感但非机密的网络上长时间不活动后，State 未能关闭数千个帐户。根据监察长的说法，一些账户在员工辞职、退休或被解雇后长达 152 天仍然有效。前雇员或黑客可以使用这些未到期的凭据访问 State 的敏感和机密信息，同时看起来是授权用户。监察长警告说，如果不解决此类问题，“未经授权访问的风险会显着增加。”与此同时，社会保障局也存在许多相同的缺点，包括许多系统缺乏授权、使用不受支持的系统、未能编制准确而全面的 IT 资产清单以及未能提供对 PII 的充分保护。该报告是在发现供应链攻击导致 9 个联邦机构和大约 100 家私营公司受到攻击后七个月发布的。 4 月，代表中国政府工作的黑客利用 Pulse Secure VPN 中的漏洞入侵了多个联邦机构。 2020 年全年，白宫报告了联邦政府发生的 30,819 起信息安全事件，比上一年增加了 8%。