Ribuan akun email Departemen Luar Negeri masih berisiko diretas, kata laporan itu

EKSKLUSIF: Hampir enam tahun setelah auditor pertama kali memperingatkan – pada masa Menteri Luar Negeri Hillary Clinton – bahwa ribuan akun email Departemen Luar Negeri yang tidak digunakan atau diabaikan berisiko “disusupi oleh pengguna yang tidak sah untuk tujuan yang tidak sah,” ribuan akun serupa masih ada. , menurut laporan pengawas internal.

Menurut peraturan federal, akun yang tidak aktif seharusnya ditutup setelah 90 hari. Namun menurut laporan terbaru dari Kantor Inspektur Jenderal (OIG) negara bagian, yang dikeluarkan bulan lalu, sebagian besar dari sekitar 2.600 akun zombi tidak aktif selama lebih dari setahun, meskipun departemen tersebut mengklaim telah menghapus akun tersebut dari sistem. DIHAPUS.

Menurut laporan tersebut, pembersihan birokrasi Departemen Luar Negeri “tidak efektif,” sementara akun-akun yang tidak aktif menciptakan saluran potensial bagi peretas dan risiko yang “dapat membahayakan integritas jaringan Departemen Luar Negeri dan menyebabkan kerusakan yang luas.”

Jika tingkat pembersihan akun cukup tinggi, laporan tersebut memperingatkan, pemerintah dapat kehilangan informasi pribadi dari sistemnya tanpa terdeteksi.

KLIK DI SINI UNTUK LAPORAN

Meskipun ada peringatan keras yang dikeluarkan saat ini, para birokrat negara terus berupaya keras untuk mengatasi masalah ini, melanjutkan perjuangan jangka panjang mengenai bagaimana teknologi informasi, dan khususnya akun email, dikendalikan—atau tidak.

Peringatan email OIG mendapat resonansi tambahan dari pernyataan Direktur FBI James Comey pada konferensi pers hari Selasa, yang mengumumkan hasil penyelidikan panjang terhadap server email pribadi dan akun email Hillary Clinton, bahwa “budaya keamanan Departemen Luar Negeri secara umum, dan dengan khususnya sehubungan dengan penggunaan sistem email yang tidak rahasia, secara umum kurang perhatian terhadap informasi rahasia yang ditemukan di tempat lain di pemerintahan.”

Peringatan OIG, yang dikeluarkan bulan lalu, sebenarnya hanyalah peringatan terbaru dari serangkaian peringatan yang dikeluarkan oleh lembaga pengawas tersebut mengenai lemahnya status keamanan siber di suatu negara, yang sering kali berfokus pada masalah akun email yang tidak digunakan.

Keputusan yang paling dramatis muncul dalam laporan yang sangat disensor pada bulan Oktober 2014, yang mengutip “kekurangan kontrol” di 102 sistem teknologi informasi Departemen Luar Negeri yang dilacak OIG selama lima tahun – pada masa jabatan Clinton di Negara Bagian – dan menuduh bahwa “banyak dari kekurangan yang sama terus berlanjut” sepanjang periode.

Dalam beberapa minggu, gelombang serangan peretasan menutup sepenuhnya sistem email negara yang tidak rahasia. Dalam jangka waktu yang kurang lebih sama, rangkaian peretasan yang lebih spektakuler, diyakini berasal dari Tiongkok, dimulai di Kantor Manajemen Personalia Gedung Putih dan kemudian di kontraktor swasta, yang mengakibatkan hilangnya sekitar 25 juta file sensitif personel pemerintah AS. .

Sejauh mana akun email yang tidak aktif berkontribusi terhadap penilaian keamanan siber OIG yang suram pada tahun 2014 masih belum jelas, karena 22 dari 33 rekomendasi dokumen tersebut, beserta sebagian besar analisisnya mengenai penyimpangan negara, telah disunting.

Namun demikian, laporan tersebut mencatat bahwa ada “ribuan” akun seperti itu, “menimbulkan risiko signifikan untuk akses dan penggunaan tidak sah.”

Audit OIG lain yang diterbitkan sekitar waktu yang sama pada tahun 2014 mencatat bahwa biro yang menangani masalah ini memiliki lebih dari 44.000 akun email yang melebihi jumlah total pegawai negara bagian yang berjumlah 78.791 orang, namun tidak disebutkan berapa banyak yang tidak aktif. Audit yang sama mencatat bahwa negara “tidak memiliki struktur untuk mencegah pembuatan akun pengguna tanpa otorisasi yang tepat oleh … administrator sistem.”

KLIK DI SINI UNTUK AUDIT 2014

Para auditor dengan datar mencatat bahwa pemangkasan besar-besaran terhadap rekening orang mati telah mulai dilakukan bahkan ketika mereka mulai bekerja. Pemangkasan tersebut rupanya terus berlanjut – sebagian karena negara memberikan apa yang disebut kartu verifikasi identitas pribadi (PIV) baru kepada karyawan setelah serangan tahun 2014, yang tidak diragukan lagi menarik perhatian pada siapa yang menggunakan akun email mereka dan siapa yang tidak. . .

OIG mencatat bahwa rencana peluncuran kartu PIV tidak menentukan “metode untuk mengidentifikasi dan menghapus akun tidak aktif yang tidak diperlukan untuk menyelesaikan proses PIV, seperti kotak surat, layanan, dan akun pengguna yang dihentikan.”

Sementara itu, persentase akun email yang tidak aktif dalam jangka panjang dalam penyelidikan OIG terbaru terhadap direktori email negara bagian—6,4 persen—tidak jauh berbeda dari tahun 2015—7 persen.

Masalah utamanya, menurut OIG, adalah bahwa negara dengan tegas menolak memusatkan sistem pengelolaan akun emailnya.

Sebaliknya, birokrasi, sebagaimana dinyatakan dalam dokumen pengawas terbaru, bergantung pada “model yang didelegasikan” di mana administrator sistem di biro Departemen Luar Negeri “menonaktifkan akun-akun yang tidak aktif secara manual dibandingkan menggunakan proses otomatis untuk mengidentifikasi dan menonaktifkan seperti yang dinyatakan dalam Buku Panduan Urusan Luar Negeri. ”

Auditor OIG mengatakan mereka masih melacak rekomendasi “terbuka” dari laporan mereka sebelumnya mengenai masalah manajemen email, yang berarti rekomendasi spesifik tersebut belum diselesaikan.

Dalam laporan terbaru mereka, mereka menambahkan dua rekomendasi lagi: menyerukan kepada biro Departemen Luar Negeri yang terkait untuk “mengembangkan rencana yang secara efektif mengidentifikasi berbagai rekening tidak aktif yang tidak tersentuh oleh sistem kartu PIV dan akan dihapuskan, dan bahwa departemen tersebut juga akan dihapuskan.” secara aktif “mengimplementasi” rencana baru – merujuk pada fakta bahwa rekomendasi-rekomendasi sebelumnya tidak mendorong banyak tindakan.

Tanggapan Departemen Luar Negeri terhadap dua usulan tersebut: tidak melakukan apa pun. Tanggapan resmi yang dilampirkan pada laporan OIG mengatakan sebagai tanggapan atas kedua rekomendasi tersebut bahwa skema kartu PIV “sudah lengkap dan tidak dapat diubah”.

Ia juga mengklaim bahwa “kami terus secara rutin menghapus akun-akun lama,” dan menghapus akun-akun tambahan – sebuah klaim yang menurut OIG bertentangan dengan bukti-bukti tersebut.

Menanggapi penyelidikan dari Fox News, seorang pejabat Departemen Luar Negeri mengatakan bahwa “kami terus membuat kemajuan yang stabil dalam mengurangi jumlah pengguna yang memiliki hak istimewa, meningkatkan proses di mana para pengguna ini memperoleh akun, dan mengelola akun yang memiliki hak istimewa yang diperketat khusus aplikasi.”

Pejabat itu menambahkan bahwa “sebagai kebijakan” departemen tersebut “tidak berkomentar secara terbuka mengenai rekomendasi spesifik OIG.”