La seguridad cibernética en ocho agencias federales es tan deficiente que cuatro de ellas obtuvieron calificaciones de D, tres obtuvieron C y solo una recibió una B en un informe emitido el martes por un Comité del Senado de los EE. UU.
“Está claro que los datos confiados a estas ocho agencias clave siguen en riesgo”, dijo el Informe de 47 páginas fijado. “A medida que los piratas informáticos, tanto patrocinados por el estado como de otro tipo, se vuelven cada vez más sofisticados y persistentes, el Congreso y el poder ejecutivo no pue den seguir permitiendo que la PII y los secretos de seguridad nacional sigan siendo vulnerables”.
El informe, emitido por el Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales, llega dos años después de que un informe separado encontró fallas sistémicas de las mismas ocho agencias federales en el cumplimiento de los estándares federales de ciberseguridad. El informe anterior descubrió que durante la década que abarca desde 2008 hasta 2018, las agencias no protegieron adecuadamente la información de identificación personal, mantuvieron una lista de todo el hardware y software utilizado en las redes de las agencias e instalaron parches de seguridad proporcionados por los proveedores de manera oportuna.
El informe de 2019 también destacó que las agencias estaban operando sistemas heredados que eran costosos de mantener y difíciles de asegurar. Las ocho agencias, incluida la Administración del Seguro Social y los Departamentos de Seguridad Nacional, Estado, Transporte, Vivienda y Desarrollo Urbano, Agricultura, Salud y Servicios Humanos y Educación, no protegieron la información confidencial que almacenaron o mantuvieron.
Informe del martes, titulado Ciberseguridad federal: datos de Estados Unidos Todavía en riesgo, analizó las prácticas de seguridad de las mismas agencias para 2020. Descubrió que solo una agencia había obtenido una calificación de B por sus prácticas de ciberseguridad el año pasado.
“Lo que encuentra este informe es contundente”, escribieron los autores. “Los inspectores generales identificaron muchos de los mismos problemas que han afectado a las agencias federales durante más de una década. Siete agencias realizaron mejoras mínimas, y solo el DHS logró emplear un régimen de ciberseguridad efectivo para 2020. Como tal, este informe encuentra que estas siete agencias federales aún no han cumplido con los estándares básicos de ciberseguridad necesarios para proteger los datos confidenciales de Estados Unidos “.
Los autores asignaron las siguientes calificaciones:
| Departamento de Estado | D |
| Departamento de transporte | D |
| Departamento de Educación | D |
| Administracion de la Seguridad Social | D |
| Departamento de Agricultura | C |
| Departamento de Salud y Servicios Humanos | C |
| Departamento de Vivienda y Desarrollo Urbano | C |
| Departamento de Seguridad Nacional | B |
Los auditores descubrieron que los sistemas del Departamento de Estado operaban con frecuencia sin las autorizaciones requeridas, ejecutaban software (incluido Microsoft Windows) que ya no era compatible y no instalaban parches de seguridad de manera oportuna.
El sistema de gestión de usuarios del departamento fue objeto de críticas especiales porque los funcionarios no pudieron proporcionar documentación de los acuerdos de acceso de los usuarios para el 60 por ciento de los empleados de la muestra que tenían acceso a la red clasificada del departamento.
Los auditores escribieron:
Esta red contiene datos que, si se divulgan a una persona no autorizada, podrían causar un “daño grave” a la seguridad nacional. Quizás lo más preocupante es que State no cerró miles de cuentas después de largos períodos de inactividad en sus redes clasificadas y sensibles pero no clasificadas. Según el Inspector General, algunas cuentas permanecieron activas hasta 152 días después de que los empleados renunciaron, se jubilaron o fueron despedidos. Los ex empleados o los piratas informáticos podrían usar esas credenciales vigentes para obtener acceso a la información confidencial y clasificada del estado, mientras aparenta ser un usuario autorizado. El Inspector General advirtió que sin resolver los problemas en esta categoría, “el riesgo de acceso no autorizado aumenta significativamente”.
Mientras tanto, la Administración del Seguro Social sufrió muchas de las mismas deficiencias, incluida la falta de autorización para muchos sistemas, el uso de sistemas no compatibles, la falta de compilación de un inventario de activos de TI exacto y completo y la falta de protección adecuada de la PII.
Los detalles sobre los otros departamentos están disponibles en el informe vinculado anteriormente.
El informe llega siete meses después del descubrimiento de un ataque a la cadena de suministro que llevó al compromiso de nueve agencias federales y alrededor de 100 empresas privadas. En abril, los piratas informáticos que trabajaban en nombre del gobierno chino violaron varias agencias federales al explotar vulnerabilidades en Pulse Secure VPN.
Para todo 2020, la Casa Blanca informó 30,819 incidentes de seguridad de la información en todo el gobierno federal, un aumento del 8 por ciento con respecto al año anterior.