Hacker -Treats pada kontraktor keselamatan federal yang tidak diperhatikan selama berbulan -bulan, laporan klaim

Menurut laporan yang diterbitkan, serangan dunia maya terhadap kontraktor izin keamanan federal USIS tidak diperhatikan sampai diungkapkan oleh perusahaan dan lembaga pemerintah.

Pejabat dan orang lain yang akrab dengan penyelidikan FBI dan penyelidikan resmi terkait mengatakan kepada The Associated Press bahwa pelanggaran itu, mirip dengan invasi peretas sebelumnya dari China, membahayakan catatan pribadi setidaknya $ 25.000 karyawan di Departemen Keamanan Rumah dan biaya perusahaan ratusan juta dolar.

Selain upaya untuk mengidentifikasi pelanggar dan mengevaluasi tingkat materi yang dicuri, pertanyaan pemerintah menyatakan keprihatinan tentang mengapa alarm pelacakan komputer di perusahaan tidak dengan cepat memperhatikan peretas dan apakah agen federal yang dipekerjakan perusahaan seharusnya memantau praktiknya lebih dekat.

Mantan karyawan perusahaan, yang nama lengkapnya adalah US Investigations Services LLC, juga mengajukan pertanyaan tentang mengapa perusahaan dan pemerintah tidak memastikan bahwa laporan latar belakang yang sudah ketinggalan zaman yang berisi data pribadi tidak secara teratur dimurnikan dari komputer perusahaan.

Analisis komputer -forensic oleh konsultan yang disewa oleh pengacara perusahaan membela penanganan pelanggaran USIS dan menunjukkan bahwa perusahaan yang melaporkan insiden itu.

Menurut analisis, lembaga pemerintah secara teratur memeriksa dan menyetujui sistem peringatan dini perusahaan. Dalam analisis, yang diserahkan kepada pejabat federal pada bulan September dan diperoleh oleh AP, para konsultan mengkritik keputusan pemerintah pada bulan Agustus untuk menghentikan penyelidikan latar belakang perusahaan tanpa batas waktu.

USIS melaporkan serangan cyber ke otoritas federal pada 5 Juni, lebih dari dua bulan sebelum dia secara terbuka mengakuinya. Menurut orang -orang yang akrab dengan penyelidikan, serangan itu memiliki fitur sebagai penjajah di masa lalu oleh peretas Cina. Maret lalu, peretas menemukan komputer canggih China di Kantor Manajemen Staf, Badan Federal mengawasi oleh sebagian besar investigasi latar belakang pekerja pemerintah dan dikontrak secara luas dengan USIS.

Dalam sebuah wawancara singkat, Joseph DeMarest, asisten direktur divisi cyber FBI, menggambarkan peretasan terhadap USIS sebagai ‘canggih’, tetapi berkata, “Kami masih menyelesaikannya.” Dia menambahkan: “Ada tingkat atribusi” tentang siapa yang bertanggung jawab, tetapi dia menolak berkomentar lebih lanjut.

Bagi banyak orang, dampak perampokan USIS dikerdilkan oleh intrusi baru -baru ini bahwa kredit dan catatan pribadi jutaan klien di JPMorgan Chase & Co., Target Corp. dan Home Depot Inc. Terekspos, tetapi ini penting karena pemerintah banyak bergantung pada kontraktor untuk menghapus pekerja AS dalam pekerjaan sensitif. Kemungkinan bahwa investigasi latar belakang keamanan nasional rentan terhadap serangan cyber dapat merusak integritas sistem verifikasi yang digunakan untuk meninjau lebih dari 5 juta pekerja pemerintah dan karyawan kontrak.

“Informasi yang dikumpulkan dalam proses izin keselamatan adalah harta karun untuk cyberhackers. Jika kontraktor dan agensi yang mereka sewa tidak dapat melindungi materi mereka, seluruh sistem menjadi tidak dapat diandalkan,” kata Alan Paller, kepala Sans, sekolah pelatihan keamanan dunia maya dan mantan ketua bersama tugas tugas DHS atas keterampilan Kuber.

Bulan lalu, para pemimpin Komite Senat tentang Keamanan Rumah dan Urusan Pemerintah, Tom Carper, D-Del., Dan Tom Coburn, R-Okla., OPM dan DHS mencetak atas pengawasan kontraktor dan kinerja USIS sebelum dan selama serangan dunia maya.

Anggota Komite Lain, Sen. Jon Tester, D-Mont., Mengatakan dia khawatir tentang keamanan pemeriksaan latar belakang dan mengatakan kepada AP bahwa kontraktor dan lembaga federal harus mempertahankan sistem infrastruktur TI yang modern, mudah beradaptasi dan mengamankan yang akan tetap ada di hadapan mereka yang akan menyerang kepentingan nasional kita. ‘

Pada bulan Agustus, Kantor Manajemen Staf dan Departemen Keamanan Rumah menghentikan semua pekerjaan USIS dalam penyelidikan latar belakang. OPM, yang perusahaan membayar $ 320 juta untuk layanan investigasi dan dukungan pada tahun 2013, kemudian memutuskan untuk tidak memperbarui kontrak latar belakangnya dengan perusahaan. Langkah ini mengakibatkan USIS menolak seluruh kekuatannya dari 2500 penyelidik. Seorang juru bicara perusahaan mengeluh bahwa agensi tidak menjelaskan keputusannya. Perwakilan OPM dan DHS menolak komentar.

Bulan lalu, Kantor Akuntansi Pemerintah Federal memutuskan bahwa Homeland Security harus mengevaluasi kembali kontrak dukungan $ 200 juta ke USIS. GAO menyarankan departemen untuk mempertimbangkan memindahkan kontrak ke FCI federal, sebuah perusahaan kompetitif, yang meminta protes dari USIS.

Dalam analisis pribadi yang disiapkan untuk USIS oleh Stroz Friedberg, sebuah perusahaan manajemen risiko digital, kata Bret A. Padres, direktur pelaksana, mengatakan komputer perusahaan menyetujui “perlindungan perimeter, antivirus, verifikasi pengguna dan teknologi deteksi intrusi.” Tetapi Padres mengatakan perusahaannya tidak menilai kekuatan langkah -langkah keamanan cyber USIS sebelum intrusi.

Pejabat federal yang akrab dengan pertanyaan pemerintah mengatakan penilaian menyatakan keprihatinan bahwa sistem komputer USIS dan pengemudi tidak bermaksud untuk mendeteksi pelanggaran dengan cepat begitu peretas masuk.

Sistem komputer mungkin dibuat selama berbulan -bulan sebelum pemerintah diberitahu pada bulan Juni, kata para pejabat. Pakar keamanan dunia maya percaya bahwa serangan terhadap target perusahaan sering terjadi hingga 18 bulan sebelum ditemukan dan biasanya terdeteksi oleh pemerintah atau spesialis keselamatan luar.

Namun, USIS mencatat bahwa persiapan keamanannya sendiri “memungkinkan kami untuk mengatur serangan ilegal ini sendiri.”

Padres mengatakan para peretas menyerang server komputer yang rentan di jaringan yang tertaut tetapi terpisah, didorong oleh pihak ketiga yang tidak terkait dengan USIS. ” Dia tidak mengidentifikasi bisnis luar.

Mantan pekerja USIS mengatakan kepada AP bahwa penyelidik yang kadang -kadang menyimpan laporan latar belakang lama atau duplikat yang harus dimurnikan dari laptop mereka. Laporan tersebut berisi data keuangan dan pribadi yang sensitif yang dapat digunakan untuk pemerasan atau untuk membahayakan nilai -nilai kredit pekerja pemerintah, kata mantan pekerja itu.

Mantan karyawan USIS yang bekerja dengan kantor staf federal mengatakan sistem yang mereka gunakan menggunakan pengguna untuk memurnikan laporan lama. Tetapi para pekerja mengatakan bahwa USIS dan OPM jarang diikuti oleh kontrol tempat. Karyawan yang bekerja pada sistem dengan Departemen Keamanan Rumah mengatakan tidak memiliki fungsi peringatan otomatis yang serupa, dan cek itu langka. Perusahaan bersikeras bahwa kontrol dilakukan secara teratur.

Beberapa mantan pekerja USIS mengatakan mereka dikatakan selama dua bulan oleh perusahaan tentang serangan cyber setelah pelanggaran itu terungkap. Dalam email yang diperoleh AP, pekerja perusahaan diperintahkan untuk mengubah kata sandi mereka tanpa penjelasan.

Juru bicara USIS mengatakan pemerintah telah mengarahkan keputusan perusahaan untuk diam tentang pelanggaran tersebut. Para ahli mengatakan bisnis sering menahan informasi tersebut karena alasan keselamatan dan manajemen.

“Karyawan mungkin tidak menyukainya,” kata Paller, “tetapi dari perspektif bisnis adalah apa yang dilakukan perusahaan.”

Associated Press berkontribusi pada laporan ini.