Di tengah serangan peretasan, keamanan informasi Departemen Luar Negeri masih terpecah-pecah

Beberapa minggu sebelum Departemen Luar Negeri AS menutup sistem emailnya yang tidak diklasifikasikan pada tanggal 16 November karena serangan peretasan yang belum pernah terjadi sebelumnya, para auditor menginterogasi manajemen departemen tersebut atas peringatan mengenai kebiasaan keamanannya yang lemah dan kegagalan kronis dalam menerapkan perlindungan terhadap penyusup teknologi tinggi, sehingga diabaikan.

Situasinya sangat buruk, kata para auditor dalam laporan yang sangat disensor, sehingga mereka “mengidentifikasi kekurangan pengendalian di total 102 sistem berbeda yang ditinjau selama lima tahun, namun banyak kekurangan yang sama tetap ada.”

Para birokrat Departemen Luar Negeri mengatakan mereka sedang berupaya untuk memperbaiki masalah ini – meskipun dokumen tersebut mengatakan bahwa masalah yang sama telah diidentifikasi setahun atau lebih yang lalu.

Birokrasi negara membantah temuan audit bahwa kelemahan teknologi informasi negara merupakan “kekurangan signifikan” dalam keamanannya, yang didefinisikan sebagai kelemahan yang “secara signifikan membatasi kemampuan badan tersebut untuk melaksanakan misinya atau keamanan membahayakan informasi, sistem informasi apa pun. , personel atau sumber daya, operasi atau aset lainnya.”

Sebaliknya, Kepala Informasi Departemen Luar Negeri Steven C. Taylor mengatakan bahwa “dalam lingkungan bisnis yang terus berubah akibat ukuran Departemen dan sebaran geografisnya, kami memperkirakan akan menghadapi tantangan secara rutin,” dan bahwa “kami telah menciptakan landasan untuk memperbaiki berbagai permasalahan yang ada.” kelemahan yang ada dan kemampuan untuk mengatasi permasalahan baru yang muncul.”

Namun, salah satu temuan utama dari audit tersebut adalah, terlepas dari apa yang dikatakan para diplomat, kurangnya respons negara terhadap peringatan berulang kali mengenai kegagalan keamanannya “telah menjadi masalah yang berulang di banyak sistem departemen dan tidak diragukan lagi bersifat sistemik.”

Selain itu, sebagaimana dicatat dalam catatan kaki audit yang terkubur secara diplomatis, Kantor Inspektur Jenderal Departemen Luar Negeri AS melaporkan adanya kesalahan dalam penanganan “manajemen risiko” masalah keamanan oleh birokrasi sejak tahun 2010. Dan “banyak kekurangan yang sama masih belum diperbaiki pada (tahun fiskal) . ) 2014.”

Seberapa sistemik kekurangan tersebut tidak diungkapkan dalam audit tersebut, yang ditinjau secara mendalam demi alasan keamanan nasional. Namun sebagai salah satu indikator, 22 dari 33 rekomendasi auditor, serta sebagian besar analisisnya terhadap kelemahan teknologi informasi departemen tersebut, disunting dari dokumen tersebut.

KLIK DI SINI UNTUK AUDITnya

Analisa audit yang ditutup-tutupi ini muncul hampir setahun setelah “peringatan manajemen” yang belum pernah terjadi sebelumnya dikeluarkan oleh inspektur jenderal negara bagian tersebut untuk memperingatkan bahwa kegagalan keamanan yang sudah berlangsung lama di departemen tersebut tidak hanya mencakup “informasi rahasia yang penting untuk menjaga keamanan nasional di tingkat tinggi. lingkungan berisiko”. di seluruh dunia,” namun informasi pribadi yang tercatat sekitar 192 juta pemegang paspor AS.

Laporan terbaru ini juga keluar hanya tiga hari setelah audit inspektur jenderal lainnya yang menyoroti “kekurangan” dalam pekerjaan pengawasan salah satu biro Departemen Luar Negeri yang memungkinkan “ribuan” akun email yang tidak digunakan tetap aktif di sistem negara bagian.

Hal ini menimbulkan “risiko signifikan berupa akses tidak sah” tidak hanya terhadap sistem email yang tidak diklasifikasikan yang kini sedang diserang, namun juga terhadap akun email rahasia milik Negara.

Dokumen tersebut mengulangi laporan yang lebih luas tiga hari kemudian, dengan mengatakan bahwa peringatan berulang sejak tahun 2010 telah mencatat “kontrol manajemen akun dan identitas yang tidak memadai” yang meningkatkan risiko peretasan dari luar.

Dan meskipun mereka mengakui beberapa kemajuan yang dilakukan oleh Biro Manajemen Sumber Daya Informasi, atau IRM, para auditor menggarisbawahi bahwa biro tersebut masih memiliki lebih dari 44.000 akun email dibandingkan jumlah total karyawannya: 78.791, seperti yang ditunjukkan dalam laporan tersebut, yaitu milik Inspektur Jenderal kantor “meningkat, dan IRM setuju,” bahwa setidaknya beberapa akun, yang menimbulkan risiko keamanan, tidak diperlukan.

(Setelah auditor tiba, kepala informasi Departemen Luar Negeri, Steven Taylor, memerintahkan peninjauan terhadap akun email yang tidak aktif, menghapus dan menonaktifkan sekitar 5.000 akun email.)

KLIK DI SINI UNTUK AUDIT EMAIL

Biro IRM di negara bagian tersebut, yang pekerjaannya sebelumnya disebut oleh kantor inspektur jenderal sebagai “penting bagi postur keamanan informasi departemen tersebut”, memiliki sejarah ketidakbahagiaan yang terdokumentasi dengan baik.

Tapi sepertinya ada banyak hutang.

Laporan terakhir menunjukkan bahwa dari 17 sistem TI Departemen Luar Negeri yang diuji dalam audit tersebut, tujuh, atau lebih dari 40 persen, tidak disertai laporan penilaian yang menunjukkan seberapa efektif pengendalian keamanannya.

Selain itu, pengelolaan protokol yang dilakukan negara bagian untuk memperbaiki masalah ketika masalah tersebut teridentifikasi, yang dikenal sebagai Rencana Aksi dan Pencapaian, atau POA&M, “tidak efektif.”

Sebagai ukuran atas ketidakmampuan tersebut untuk menyelesaikan sesuatu, para auditor mencatat bahwa dari 29 temuan penting dari laporan mereka tahun sebelumnya mengenai kekurangan negara bagian, tidak ada satu pun yang masuk ke dalam database POA&M departemen secara keseluruhan. Hal ini terjadi karena orang-orang yang bertanggung jawab atas berbagai sistem di negara tersebut “tidak secara konsisten menyediakan pabrik-pabrik tersebut,” dan mereka juga tidak “memprioritaskan” sumber daya—yaitu, menyisihkan uang dan tenaga kerja untuk pabrik-pabrik tersebut.

Penjelasan negara adalah karena “kerentanan ini diperkirakan akan ditutup dalam waktu singkat,” maka “tidak perlu memasukkannya ke dalam database.”

Tentu saja semua ini harus diubah.

Di antara rekomendasi yang tidak disensor dalam audit teknologi informasi terbaru adalah gagasan bahwa cabang-cabang Departemen Luar Negeri yang bertanggung jawab “memenuhi tanggal penyelesaian untuk tindakan perbaikan,” dan bahwa biro IRM yang terhenti menetapkan batas waktu bagi cabang-cabang departemen lain untuk mencatat “kekurangan” dalam database. . didedikasikan untuk memperbaikinya.

Auditor juga merekomendasikan agar kepala informasi negara bagian dan pejabat tinggi keamanannya memastikan bahwa “personel teknologi informasi penting dengan tanggung jawab keamanan mengikuti pelatihan keamanan khusus dan berbasis peran,” dan bahwa kepatuhan terhadap program pelatihan dilacak.

Kedua hal tersebut sudah seharusnya dilakukan oleh Departemen Luar Negeri AS berdasarkan berbagai pedoman pemerintah, dan keduanya juga direkomendasikan setahun yang lalu, namun tampaknya tidak memberikan dampak yang cukup.

Steven Bucci, direktur pusat kebijakan keamanan luar negeri dan nasional di Heritage Foundation yang konservatif, menyimpulkan: “Jelas bahwa Departemen Luar Negeri AS tidak menganggap serius keamanan siber. Kongres harus mengajukan banyak pertanyaan kepada para pemimpin senior, dulu dan sekarang, di negara bagian ini dan mereka harus melakukannya sekarang.”

Namun, ketika Fox News mengajukan pertanyaan tentang status keamanan informasi yang “sangat kurang”, banyaknya akun email yang tidak aktif dalam sistemnya, dan rencana tindakan perbaikannya, Departemen Luar Negeri menolak berkomentar.

Sebelumnya, juru bicara Departemen Luar Negeri mengatakan, antara lain, bahwa pertanyaan Fox News terhenti selama dua hari karena penutupan email negara bagian karena upaya peretasan eksternal.

George Russell adalah pemimpin redaksi Fox News dan dapat ditemukan di Twitter: @George Russel atau aktif Facebook.com/George Russell