ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงเมื่อสำนักงานบริหารงานบุคคลประกาศว่าแฮ็กเกอร์ได้ขโมยข้อมูลส่วนตัวของพนักงานประมาณ 22 ล้านคน ผู้รับเหมาและ feds และผู้รับเหมาที่คาดหวัง ผู้วิจารณ์ชี้ให้เห็นข้อเท็จจริงอย่างรวดเร็วว่าบันทึกเหล่านั้นไม่ได้ถูกเข้ารหัสยังไม่เป็นเช่นนั้น แต่ OPM มีฐานข้อมูลหลักเพียงฐานข้อมูลเดียว ซึ่งมีสินทรัพย์มูลค่าสูงและหมายเลขประกันสังคมเหลือให้เข้ารหัส ข้อมูลนั้นจะถูกเข้ารหัสภายในสิ้นปีนี้ David DeVries ประธานเจ้าหน้าที่ฝ่ายข้อมูลของ OPM กล่าว
“เราได้เริ่มโปรแกรมที่แข็งแกร่งในปี 2559 เพื่อเข้ารหัสฐานข้อมูล
ไม่ใช่แค่การเข้ารหัสหมายเลขประกันสังคม แต่เป็นฐานข้อมูลที่มีข้อมูลสำคัญ [นั้น]” เขากล่าวระหว่างการพิจารณาคดีต่อหน้าคณะกรรมการกำกับดูแลสภาและการปฏิรูปรัฐบาลเมื่อวันที่ 2 กุมภาพันธ์
เป็นเวลาเกือบหนึ่งปีแล้วที่ผู้นำ OPM ให้การเป็นครั้งแรกเกี่ยวกับแผนของหน่วยงานในการปฏิรูประบบไอที ความปลอดภัยทางไซเบอร์และกระบวนการตรวจสอบความปลอดภัย และฝ่ายนิติบัญญัติยังคงมีคำถามเดิม ๆ มากมายที่เคยมีมาก่อน
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
“มีคำที่คล้ายกันที่ฉันได้ยินในวันนี้ซึ่งทำให้ฉันกังวลว่า ‘เรากำลังก้าวหน้า’” Rep. Mark Meadows (RN.C.) กล่าว “เราจะนิยามความสำเร็จได้อย่างไร? … เราได้รับสัญญาว่าจะเข้ารหัสครั้งแล้วครั้งเล่า แต่ถึงกระนั้น เราก็ไม่ได้อยู่ที่นั่นจนถึงทุกวันนี้”
แม้จะมีความกังวลของฝ่ายนิติบัญญัติ – และรายงาน
ทั่วไปของผู้ตรวจสอบประจำปี 2559 – OPM กล่าวว่าระบบของตนดีกว่าที่เคยเป็นมา
Cord Chase หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลคนใหม่ของหน่วยงานกล่าวว่างานแรกของเขาเมื่อเขามาถึง OPM เมื่อประมาณแปดเดือนก่อนคือการนำหน่วยงานไปสู่มาตรฐานพื้นฐาน
“เราเข้าใจดีว่ามีไม่กี่ระบบที่ไม่เป็นไปตามข้อกำหนด” Chase กล่าว “เรารู้ว่าต้องดำเนินการเพื่อให้สิ่งเหล่านั้นกลับมาปฏิบัติตาม นอกจากนี้ เรายังมีงานด้านวิศวกรรมอีกชั้นหนึ่ง ซึ่งรวมถึงการแบ่งส่วนเครือข่าย เพื่อให้แน่ใจว่าเรามีเครื่องมือตรวจสอบที่เหมาะสมและจากนั้นจึงปรับกระบวนการเพื่อรองรับสิ่งนั้น”
งานเหล่านั้นเสร็จสิ้นแล้ว Chase กล่าว แต่เป็นเพียง “พื้นฐานมาตรฐานที่เรารู้สึกสบายใจที่เราสามารถควบคุมสภาพแวดล้อมของเราและเราเข้าใจว่าเราอยู่ที่ไหนกับขอบเขตของระบบไอที”
เมื่อผู้ตรวจสอบทั่วไปของ OPM ดำเนินการตรวจสอบระบบไอทีของหน่วยงานประจำปีภายใต้กฎหมาย Federal Information Security Modernization (FISMA) IG พบว่าระบบหลัก 18 ระบบขาดการอนุญาตที่เหมาะสม
ตอนนี้ระบบทั้งหมดมีอำนาจในการดำเนินการ DeVries กล่าว
“ดังนั้นเราจึงสามารถบอกพนักงานทั้งหมดหรือผู้ที่อาจเป็นพนักงาน หรือผู้ที่เคยดูประวัติชีวิตส่วนตัวของพวกเขาว่าภายในสิ้นปี 2560 คุณมีความมั่นใจอย่างยิ่งว่าเรามีการป้องกันความปลอดภัยทางไซเบอร์ที่ทันสมัยและทันสมัยที่สุดที่พวกเขา ที่เคยเห็นและจะถูกแบ่งส่วนในลักษณะที่ถ้าใครเข้าทางประตูหน้าแล้วจะไม่สามารถผ่านเข้าไปได้ทั้งระบบ” ทุ่งหญ้าถาม
“ถูกต้อง” เชสกล่าวทั้ง DeVries และ Chase ยอมรับว่ายังมีคำแนะนำที่โดดเด่นจาก IG ที่ OPM ยังไม่ได้ดำเนินการ แต่หน่วยงานได้ดำเนินการเล็ก ๆ น้อย ๆ ในด้านอื่น ๆ พวกเขากล่าว ผู้ใช้ OPM ทุกคนมีการตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อเข้าถึงระบบของหน่วยงาน
DeVries กล่าวว่า “มันไม่ใช่โครงสร้างพื้นฐานแบบเดิมๆ ที่เคยมีในปี 2015