周二,美国参议院国土安全和政府事务委员会的成员 发布了一份两党联合报告 [PDF],指出他们审查的八个联邦机构中有七个仍未达到保护其存储和维护的敏感数据所需的基本网络安全标准。
该报告由美国参议员 Rob Portman(共和党-俄亥俄州)和 Gary Peters(民主党-密歇根州)牵头,是 Portman 于 2019 年发布的关于联邦机构网络安全的 两党联合报告 的后续。该报告发现,在八个机构中,没有一个机构达到了保护美国人个人身份信息以及机构网络上的设备和程序所需的基本网络安全标准和协议。
接受审查的八个部门包括:国土安全部、国务院、交通部、住房和城市发展部、农业部、卫生与公众服务部、教育部和社会保障局。自 2019 年以来,其中大多数部门仅取得了“微小的进步”,只有国土安全部在 2020 年被发现拥有“有效的”网络安全系统。
[相关: 拜登政府公布了阻止下一次 Colonial Pipeline 攻击的计划]
Portman 和 Peters 还附带了一份网络安全成绩单,根据其监察长对内阁部门和最大的独立机构的评分,对它们进行了评级。监察长根据它们遵守更新后的 2014 年联邦信息安全现代化法案 中信息安全要求的情况进行了评判。所有大型联邦机构的平均成绩为 C-。没有一个机构获得 A。
总的来说,各机构“一贯未能实施某些关键的网络安全要求,包括对敏感数据进行加密、限制每个用户对执行工作所需的信息和系统的访问权限,以及多因素认证,或未能向国会证明系统Nonetheless 是安全的,”声明中概述道。几乎所有机构都使用了过时的系统或应用程序,并且有六个机构未能安装软件补丁和其他安全修复程序。
Peters 指出,美国救援计划最近投资了超过 10 亿美元用于联邦 IT 和网络的现代化和安全保障,但仍有更多工作要做。
[相关: 勒索软件攻击如何导致美国主要燃油管道瘫痪]
“从 SolarWinds 到最近针对关键基础设施的勒索软件攻击,很明显,网络攻击将会持续不断,而我们自己的联邦机构没有尽一切努力来保护美国的数据,这是不可接受的,”参议员 Portman 在一份声明中表示。“这份报告显示,我们的联邦机构在应对网络安全漏洞方面一直未能成功,这种失败使国家安全和敏感的个人信息面临被日益复杂的黑客窃取和损害的风险。”
2020 年 12 月的 SolarWinds 攻击使得俄罗斯黑客能够渗透包括国土安全部、国务院、能源部和财政部在内的九个联邦机构。一家私营网络安全公司向政府通报了此次攻击,据报告称,截至目前,政府仍在努力查明哪些信息被访问。2021 年 4 月,类似的事件发生,中国黑客绕过了多家联邦机构的现有网络安全措施。而在私营领域,当一家名为 Colonial Pipeline 的公司运营的关键石油运输系统 遭受勒索软件攻击 时,导致了东海岸的燃油中断。这次攻击和其他攻击促使 拜登政府发布 了国家安全备忘录,敦促关键基础设施行业与联邦政府合作,提高网络安全水平。
Portman 接着表示,他将提出立法来“解决本报告中提出的建议”。
