Hoy marca la conclusión de una saga de años que empezado cuando John Oliver hizo un segmento sobre la neutralidad de la red que fue tan popular que puso de rodillas al sistema de comentarios de la FCC. Dos años más tarde, finalmente está cerca de abordar todos los problemas planteados en una investigación de la Oficina de Responsabilidad General.
El informe cubre numerosos problemas de ciberseguridad y TI, algunos de los cuales FCC abordado rápidamente, algunos no tan rápido y otros todavía están trabajando.
"El informe de la GAO de ho y deja en claro lo que sabíamos desde el principio: el sistema de la FCC para recopilar aportes públicos tiene problemas", dijo el Comisionado Jessica Rosenworcel
Aquí está la línea de tiempo básica de los eventos, que parecen hace mucho tiempo:
- Mayo de 2017: Se transmite el segmento de John Oliver, y al día siguiente la FCC afirma que fue golpeado por ataques de denegación de servicio que derribó su sistema de comentarios, ECFS. (De hecho, era simplemente el gran volumen de personas que querían comparten su opinión sobre el plan de la FCC para matar la neutralidad de la red.)
- Julio de 2017: A pesar de los pedidos de detalles, la FCC se niega a revelar ningún detalle en el ciberataque, a pesar de las demandas del Congreso, diciendo que la amenaza era "continua". (De hecho, sus investigaciones no habían determinado la intención maliciosa y su cuenta oficial estaba en duda internamente desde el principio).
- Agosto de 2017: El Congreso llama a una investigación independiente de las reclamaciones de la FCC y su sistema de comentarios. (Ese es el informe publicado hoy. También en esta época se descubrió que otro "hack" improbable ocurrió (no) en 2014.)
- Octubre de 2017: El jefe de información de la FCC, David Bray, quien afirmó que los ataques tuvieron lugar tanto en 2017 como en 2014, deja la FCC.
- Diciembre 2017: La FCC vota siguiendo las líneas del partido para matar la neutralidad de la red.
- Junio 2018: Un grupo de vigilancia adquiere 1.300 páginas de correos electrónicos, que (aunque muy redactados) muestran que las afirmaciones de DDoS eran esencialmente falsas y se sabía que lo eran.
- Agosto 2018: La FCC finalmente admite que nunca fue pirateado, y al día siguiente sale su propio informe interno mostrando que realmente era un interés abrumador de personas que querían ser escuchadas. Miembros del congreso acusar al presidente Ajit Pai de "incumplimiento del deber" al perpetuar esta narración peligrosamente incorrecta.
Entonces, ha sido bastante silencioso básicamente hasta hoy, cuando el informe solicitado en 2017 se publicó públicamente. Una versión con información confidencial (como configuraciones exactas de software y otra información técnica) se distribuyó internamente en septiembre y luego se revisó para el lanzamiento de hoy.
El informe final no es una gran bomba, ya que gran parte se ha telegrafiado con anticipación. Es una colección de críticas a un sistema obsoleto con seguridad inadecuada y otras fallas que podrían haberse dirigido a prácticamente cualquier agencia federal, entre las cuales se encuentran las prácticas de seguridad cibernética. notoriamente pobre.
La investigación indica que la FCC, por ejemplo, no implementó consistentemente controles de seguridad y acceso, encriptó datos confidenciales, actualizó o configuró correctamente sus servidores, detectó o registró eventos de seguridad cibernética, etc. No siempre fue un desastre (incluso los departamentos de TI bien administrados no siempre siguen las mejores prácticas), pero obviamente algunas de estas deficiencias y atajos llevaron a problemas serios como que ECFS se abrumara.
Más importante aún, de las 136 recomendaciones hechas en el informe de septiembre, 85 se han implementado completamente ahora, 10 parcialmente, y el resto está en camino de serlo.
Eso no debe entenderse como que la FCC ha esperado todo este tiempo para actualizar sus comentarios y otros sistemas. De hecho, estaba haciendo mejoras casi inmediatamente después del evento en mayo de 2017, pero se negó a describirlas. Estas son algunas de las mejoras enumeradas en el informe GAO:
El representante Frank Pallone (D-NJ), que ha perseguido a la FCC sobre este tema desde el principio, emitió la siguiente declaración:
Solicité este informe porque estaba claro, después de la debacle del período de comentarios sobre la derogación de la neutralidad de la red, que las prácticas de seguridad cibernética de la FCC habían fallado. Después de más de dos años de investigación, GAO acepta y encuentra una inquietante falta de seguridad que pone en riesgo los sistemas de información de la Comisión … Hasta que la FCC implemente todas las recomendaciones restantes, sus sistemas seguirán siendo vulnerables a fallas y mal uso.