แม้จะยังห่างไกลจากการโจมตีทางไซเบอร์อย่างเต็มรูปแบบ แต่“การทำงานผิดพลาดทางเทคนิค”ที่ปิดล้อมเว็บพอร์ทัล Office of Personnel Management เมื่อวันจันทร์ ตอกย้ำปัญหาที่เกิดขึ้นทั่วทั้งรัฐบาล ซึ่งผู้เชี่ยวชาญกล่าวว่าไม่ใช่เรื่องง่ายที่จะแก้ไขความผิดพลาดด้านความปลอดภัยในพอร์ทัลบริการเกษียณอายุของหน่วยงานทำให้ผู้ใช้บางรายเข้าสู่ระบบและเข้าถึงข้อมูลส่วนบุคคลของผู้เกษียณรายอื่น ไซต์กลับมาใช้งานได้แล้วในวันนี้ OPM กล่าวว่าจะแจ้งให้ผู้เกษียณอายุทราบหากข้อมูลส่วนบุคคลของพวกเขาถูกบุกรุก
“แม้ว่าการละเมิดนี้อาจไม่ได้เป็นผลมาจากการโจมตีทางไซเบอร์
แต่ก็ยังแสดงให้เห็นถึงความท้าทายที่หน่วยงานของรัฐบาลกลางและองค์กรภาคเอกชนต้องเผชิญในการปกป้องข้อมูลที่สามารถระบุตัวบุคคลได้” Rep. Elijah Cummings (D-Md.) กล่าว ความกังวลเกี่ยวกับการละเมิดล่าสุดอื่น ๆ ที่ส่งผลกระทบต่อพนักงานของรัฐบาลกลาง
เมื่อเดือนที่แล้ว OPM ได้เตือนพนักงานของรัฐบาลกลางเกือบ 50,000 คนว่าข้อมูลส่วนบุคคลของพวกเขาอาจถูกเปิดเผยเนื่องจากการละเมิดทางไซเบอร์ที่ KeyPoint ซึ่งเป็นผู้ให้บริการตรวจสอบประวัติ
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
ฐานข้อมูลที่เก็บข้อมูลการรักษาความปลอดภัยนั้นน่าสนใจเป็นพิเศษสำหรับแฮ็กเกอร์ Alan Paller ผู้อำนวยการฝ่ายวิจัยของสถาบัน SANS กล่าวว่า แม้ความผิดพลาดทางโลกที่มากขึ้นก็บ่งชี้ว่าหน่วยงานพลเรือนและผู้รับเหมาของพวกเขาประสบปัญหาจากการขาดความรู้และทักษะด้านความปลอดภัยในโลกไซเบอร์
“มีการแข่งขันกันสำหรับผู้ที่รู้วิธีรักษาความปลอดภัยของระบบ มันยากขึ้นเรื่อยๆ เมื่อบริษัทพาณิชย์เริ่มให้ความสนใจกับความปลอดภัยในโลกไซเบอร์” เขากล่าว “ผู้รับเหมามีปัญหามากมายในการจ้างบุคลากรด้านเทคนิคที่แข็งแกร่ง ผู้ที่สามารถมีแนวโน้มที่จะได้รับสัญญาที่มีค่ามากจากชุมชนข่าวกรอง”
หน่วยงานพลเรือนและผู้รับเหมาถูกทิ้งให้อยู่กับคนที่ไม่มีทักษะแบบเดียวกัน เขากล่าว
“สิ่งที่คุณได้รับกลับมาคือแอปพลิเคชันที่มีข้อบกพร่องด้านความปลอดภัยอยู่ในตัว เนื่องจากไม่มีขั้นตอนและบุคลากรคอยขัดขวาง มันเป็นปัญหาอุปสงค์และอุปทานที่ไม่มีวิธีแก้ปัญหาในระยะสั้น” เขากล่าว
หน่วยงานของรัฐบาลกลางได้เห็นการเพิ่มขึ้นของเหตุการณ์ด้านความปลอดภัยข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ในปี 2556 หน่วยงานต่างๆ รายงาน25,566 กรณีตามรายงานของสำนักงานความรับผิดชอบของรัฐบาล
บางครั้งหน่วยงานไม่ได้ปกป้องข้อมูลของตนอย่างเพียงพอ Greg Wilshusen ผู้อำนวยการฝ่ายปัญหาความปลอดภัยของข้อมูลของ GAO กล่าว เหตุการณ์ที่ไม่ได้ตั้งใจมักมาจากข้อผิดพลาดในการเขียนโปรแกรมหรือความล้มเหลวในอุปกรณ์และซอฟต์แวร์ เขากล่าว
ถึงกระนั้นก็ไม่น่าเป็นไปได้ที่ความผิดปกติทางเทคนิคบนพอร์ทัลบริการเกษียณอายุของ OPM จะเสียหายถาวร เพราะผู้ใช้ไม่กี่คนที่เห็นข้อมูลของผู้เกษียณอายุรายอื่นอาจไม่มีเจตนาร้าย Wilshusen กล่าว การละเมิดที่ผู้รับเหมาที่มีข้อมูลการรักษาความปลอดภัยทำให้เกิดความกังวลมากขึ้น
การรักษาความปลอดภัยทางไซเบอร์ในหน่วยงานพลเรือนเป็น “ส่วนลึกของรัฐบาล” ไซมอน ครอสบี ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Bromium ซึ่งให้คำปรึกษาแก่หน่วยงานด้านความปลอดภัยทางไซเบอร์กล่าว
ตั้งแต่ OPM ไปจนถึงหน่วยงานขนาดใหญ่ เช่น แผนกบริการสุขภาพและมนุษย์ หรือกิจการทหารผ่านศึก หน่วยงานต่างๆ ขาดงบประมาณและชุดทักษะในการจัดการกับการโจมตีทางไซเบอร์
“คุณมีองค์กรที่ดำเนินภารกิจโดยพื้นฐานและมีเป้าหมายหลักที่ไม่ต้องรับรู้โลกไซเบอร์” เขากล่าว “แต่พวกเขาก็ต้องถูกโจมตีอยู่ดี เพราะพวกเขาเป็นรัฐบาลกลาง และเพราะมูลค่าของข้อมูลที่พวกเขามีอยู่”
ประธานาธิบดี บารัค โอบามา กำลังเรียกร้องให้สภาคองเกรสผ่านกฎหมายที่สนับสนุนให้บริษัทต่างๆ ติดต่อรัฐบาล เมื่อพวกเขาตกเป็นเหยื่อของการละเมิดทางไซเบอร์ อย่างที่โซนี่ พิคเจอร์สเพิ่งเป็น แม้ว่าการแบ่งปันข้อมูลจะเป็นประโยชน์ แต่ความพยายามกลับถูกแทนที่ด้วย Paller กล่าว