ผู้ตรวจสอบของรัฐบาลกล่าวว่าปัญหาความปลอดภัยทางไซเบอร์ของกรมกิจการทหารผ่านศึกนั้นดีขึ้นเล็กน้อย แต่ความกังวลอย่างมากเกี่ยวกับความปลอดภัยของข้อมูลของทหารผ่านศึกยังคงอยู่สำนักงานความรับผิดชอบของรัฐบาลและผู้ตรวจสอบทั่วไปของเวอร์จิเนียกล่าวกับสมาชิกคณะกรรมการกิจการทหารผ่านศึกของสภาว่าหน่วยงานยังคงมีข้อบกพร่องมากเกินไปแม้จะมีแรงกดดันจากฝ่ายนิติบัญญัติและภัยคุกคามจากการโจมตีทางไซเบอร์ที่เพิ่มขึ้นเรื่อย ๆ
“แม้จะมีความคืบหน้า แต่สำนักงานสารสนเทศและเทคโนโลยีก็ยัง
ไม่มีประสิทธิภาพเต็มที่ในการจัดการกับจุดอ่อนของระบบหรือกำจัดจุดอ่อนสำคัญที่ระบุในโครงการรักษาความปลอดภัยข้อมูลของ VA สำหรับปีงบประมาณ 2014” Sondra McCauley รองผู้ช่วย IG สำหรับการตรวจสอบและประเมินผลที่ VA เขียน ในคำให้การของเธอต่อหน้าสมาชิกสภาสงเคราะห์ทหารผ่านศึก “เรายังคงเห็นข้อบกพร่องด้านความปลอดภัยข้อมูลซ้ำๆ ในประเภทและระดับความเสี่ยงต่อการค้นพบที่เรารายงานในปีก่อนหน้า และการใช้งานโปรแกรมความปลอดภัยโดยรวมที่ไม่สอดคล้องกัน”
โดยเฉพาะอย่างยิ่ง GAO กล่าวว่า VA ยังไม่สามารถแก้ไขช่องโหว่ของเครือข่ายได้นานกว่าหนึ่งปีหลังจากที่ฝ่ายนิติบัญญัติและอดีตเจ้าหน้าที่ไซเบอร์ของ VA เปิดเผยข้อเท็จจริงต่อสาธารณะว่าหน่วยงานประสบปัญหาการบุกรุกของรัฐอย่างน้อยแปดครั้งในช่วงไม่กี่ปีที่ผ่านมา ”
ข้อมูลเชิงลึกโดย LaunchDarkly: เรียนรู้ว่า Coast Guard, NSF และ USAID ไม่เพียงแต่ปรับปรุงสภาพแวดล้อมขององค์กรเท่านั้น แต่ยังดำเนินการดังกล่าวด้วยวิธีที่สนับสนุนพนักงานของตนในการให้บริการได้ดีที่สุด ในขณะเดียวกันก็รักษาข้อมูลของรัฐบาลกลางให้ปลอดภัยด้วย
หน่วยงานได้วางแผนที่จะใช้วิธีแก้ปัญหาในเดือนกุมภาพันธ์ 2014
ซึ่งจะแก้ไขจุดอ่อน แต่สิ่งนี้ยังไม่เสร็จสมบูรณ์ในเวลาที่เราตรวจสอบ เวอร์จิเนียจำกัดการเข้าถึงระบบที่ได้รับผลกระทบ แต่ก็ไม่เพียงพอที่จะป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้นอีก” Greg Wilshusen จาก GAO ผู้อำนวยการฝ่ายปัญหาความปลอดภัยของข้อมูลกล่าวในคำให้การที่เป็นลายลักษณ์อักษรเมื่อวันอังคาร เราพบว่าเครือข่ายและศูนย์ปฏิบัติการด้านความปลอดภัยของแผนกไม่มีการมองเห็นที่เพียงพอในเครือข่ายคอมพิวเตอร์ของ VA ซึ่งจำกัดความสามารถในการตรวจจับและตอบสนองต่อเหตุการณ์ เนื่องจากนโยบายของ VA ไม่ได้กำหนดสิทธิ์ของ NSOC ในการเข้าถึงบันทึกกิจกรรมที่รวบรวมไว้ที่ศูนย์ข้อมูลของ VA ก่อนหน้านี้ เราได้ยกประเด็นการกำหนดบทบาทและความรับผิดชอบในการตอบสนองต่อเหตุการณ์ที่ VA ในรายงานเดือนเมษายน 2014 และแนะนำให้ VA กำหนดระดับอำนาจหน้าที่ของทีมตอบสนองเหตุการณ์ เวอร์จิเนียเห็นด้วยกับคำแนะนำนี้ การดำเนินการตามคำแนะนำนี้ควรรวมถึงการให้อำนาจ NSOC ในการตรวจสอบบันทึกกิจกรรมเครือข่าย”
Wilshusen บอกกับฝ่ายนิติบัญญัติว่า VA ไม่สามารถแสดงการกระทำที่เกิดขึ้นหลังจากการเรียนรู้ว่าการบุกรุกนั้นได้ผล
เขากล่าวว่า VA ไม่ได้เก็บหลักฐานดิจิทัลหรือรายงานการวิเคราะห์ทางนิติวิทยาศาสตร์ที่แสดงว่าเหตุการณ์ด้านความปลอดภัยได้บรรเทาลงแล้ว Wilshusen กล่าวว่า VA ยังไม่ได้ดำเนินการตั้งแต่เดือนมิถุนายน 2014 เพื่อแก้ไขช่องโหว่พื้นฐานที่อนุญาตให้มีการโจมตีเกิดขึ้น เขากล่าวว่าพวกเขาดำเนินการอื่นอย่างจำกัด แต่ก็ไม่เพียงพอที่จะหยุดการโจมตีในอนาคต
นอกจากนี้ เขากล่าวว่า NSOC ของเวอร์จิเนียไม่สามารถมองเห็นระบบของหน่วยงานได้เพียงพอ และพวกเขาไม่สามารถรับประกันได้ว่าการโจมตีจะถูกควบคุมและหยุดลง
McCauley กล่าวว่าผู้ตรวจสอบกังวลมากเกี่ยวกับช่องโหว่จำนวนมากที่ศูนย์ข้อมูลที่มีอายุมากกว่าห้าปี
Steph Warren หัวหน้าเจ้าหน้าที่ข้อมูลของ VA และผู้บริหารที่รับผิดชอบ OIT กล่าวว่าปัญหาเกี่ยวกับตัวควบคุมโดเมนได้รับการแก้ไขแล้ว
Credit : สล็อตเว็บตรง / สล็อตแตกง่าย
