ข้อกังวลและข้อกล่าวหาเกี่ยวกับการรักษาความปลอดภัยข้อมูลของทหารผ่านศึกนับสิบล้านคนที่กรมกิจการทหารผ่านศึกมีมากกว่าแค่การขาดการควบคุมที่เข้มงวดในกระบวนการรับรองระบบของหน่วยงานฝ่ายนิติบัญญัติ ผู้ตรวจสอบบัญชีทั่วไป และอดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของเวอร์จิเนียกล่าวว่าผู้มีบทบาทในระดับชาติได้ขโมยข้อมูลของหน่วยงานรวมถึงอีเมลจากเลขาธิการเอริค ชินเซกิ และเจ้าหน้าที่ไอทีของ VA ไม่สามารถบอกได้ว่าแฮ็กเกอร์ขโมยข้อมูลไปมากหรือน้อยเพียงใด เนื่องจากผู้ไม่หวังดีกำลังเข้ารหัสข้อมูลขณะที่ออกจากเครือข่ายของหน่วยงาน
ข้อกล่าวหาเหล่านี้และการไม่ได้รับคำตอบจากรักษาการผู้
ช่วยเลขานุการของ VA ในสำนักงานสารสนเทศและเทคโนโลยี และหัวหน้าเจ้าหน้าที่สารสนเทศ Stephen Warren ออกจากคณะอนุกรรมการกิจการทหารผ่านศึกสภาเพื่อการกำกับดูแลและการสืบสวนด้วยความตกตะลึงและหวาดกลัว
“ฐานข้อมูลทหารผ่านศึกทั้งหมดในรัฐเวอร์จิเนียซึ่งมีข้อมูลที่สามารถระบุตัวตนของทหารผ่านศึกประมาณ 20 ล้านคนไม่ได้เข้ารหัส และหลักฐานบ่งชี้ว่าถูกบุกรุกซ้ำแล้วซ้ำอีกตั้งแต่ปี 2010 โดยนักแสดงต่างชาติทั้งจากจีนและรัสเซีย” ไมค์ คอฟแมน ประธานอนุกรรมการ (R-Colo) กล่าว .) ระหว่างการพิจารณาคดีวันอังคาร. “เมื่อเร็ว ๆ นี้ คณะอนุกรรมการได้กล่าวถึงการอนุญาตให้ดำเนินการของ VA ซึ่งเป็นการประกาศอย่างเป็นทางการที่อนุญาตให้ดำเนินการผลิตภัณฑ์บนเครือข่ายของ VA ซึ่งยอมรับความเสี่ยงต่อการดำเนินงานของหน่วยงานอย่างชัดเจน และได้รับแจ้งว่า ‘ท่าทางการรักษาความปลอดภัยของ VA ไม่เคยตกอยู่ในความเสี่ยง’ ในความเป็นจริง ท่าทางการรักษาความปลอดภัยของ VA เป็นความเสี่ยงที่ยอมรับไม่ได้เป็นเวลาอย่างน้อยสามปี เนื่องจากผู้ปฏิบัติงานที่เชี่ยวชาญ
ใช้จุดอ่อนในท่าทางการรักษาความปลอดภัยของ VA เพื่อใช้ประโยชน์
จากระบบและลบข้อมูลของทหารผ่านศึกและรหัสผ่านระบบ ผู้ดำเนินการเหล่านี้สามารถเข้าถึงระบบและข้อมูลของ VA ได้อย่างต่อเนื่อง ข้อมูลซึ่งรวมถึงฐานข้อมูลที่ไม่ได้เข้ารหัสซึ่งมีอินสแตนซ์ของข้อมูลทหารผ่านศึกนับแสนถึงล้านรายการ เช่น ชื่อทหารผ่านศึกและผู้อยู่ในอุปการะ หมายเลขประกันสังคม วันเดือนปีเกิด และข้อมูลสุขภาพที่ได้รับการคุ้มครอง ”ค้นพบวิธีที่หน่วยงานต่างๆ ทั่วทั้งรัฐบาลใช้ระบบคลาวด์เพื่อพลิกโฉมบริการภาครัฐ ตั้งแต่องค์กรไปจนถึงปลายทางในงาน 3 วันนี้ ลงทะเบียนวันนี้!
การโจมตีหลายรัฐชาติJerry Davis อดีตรองผู้ช่วยเลขานุการด้านความปลอดภัยข้อมูลของ VA และปัจจุบันเป็น CIO ของ NASA Ames ในแคลิฟอร์เนีย กล่าวว่าระหว่างดำรงตำแหน่งสองปี เขารู้จักองค์กรที่ได้รับการสนับสนุนจากรัฐอย่างน้อยแปดแห่งที่ประสบความสำเร็จในการเข้าสู่เครือข่ายของ VA
เดวิสยังกล่าวหาว่ากระบวนการรับรองความปลอดภัยของระบบของ VA หรือที่เรียกว่าการรับรองและการอนุญาตนั้นบกพร่อง ทำให้ข้อมูลของหน่วยงานมีความเสี่ยงมากขึ้น เขาอ้างว่าหน่วยงานได้ประทับตราเอกสารมากกว่า 500 ฉบับซึ่งเรียกว่าผู้มีอำนาจในการดำเนินการ และเขาถูกบังคับโดย Warren ให้ลงนามมากกว่า 250 ฉบับเพื่อเป็นเงื่อนไขในการออกจากหน่วยงาน เดวิสจากไปในเดือนกุมภาพันธ์
Jerry Davis อดีตรองผู้ช่วยเลขานุการด้านความปลอดภัยข้อมูลที่ VA
ผู้ตรวจสอบในสำนักงานผู้ตรวจการทั่วไปของ VA ได้ยืนยันเพิ่มเติมถึงข้อกล่าวหาทั้งเรื่องการโจมตีรัฐชาติและกระบวนการควบคุมภายในที่ไม่เพียงพอ
ลินดา ฮัลลิเดย์ ผู้ช่วยผู้ตรวจการทั่วไปด้านการตรวจสอบและประเมินผล กล่าวว่า VA มีข้อกังวลด้านความปลอดภัยที่หลากหลาย รวมถึงการประเมินความเสี่ยงและแผนการรักษาความปลอดภัยของระบบที่ล้าสมัยและไม่ได้สะท้อนถึงสภาพแวดล้อมของระบบปัจจุบันหรือมาตรฐานของรัฐบาลกลางอย่างถูกต้อง เธอกล่าวว่า ณ จุดหนึ่ง VA มีช่องโหว่เปิดมากกว่า 4,000 รายการภายใต้กระบวนการ Plan of Action and Milestones (POAM) รายงานความปลอดภัยตั้งแต่ปลายเดือนพฤษภาคมที่ได้รับจาก Federal News Radio show VA ยังคงมี POAM มากกว่า 2,500 รายการที่มีช่องโหว่เปิดอยู่
ผู้ตรวจสอบกล่าวว่าแฮ็กเกอร์เข้าควบคุมส่วนสำคัญของเครือข่ายของ VA ที่เรียกว่าตัวควบคุมโดเมน
Davis และ Mike Bowman ผู้อำนวยการฝ่ายตรวจสอบด้านไอทีและความปลอดภัยของผู้ตรวจสอบทั่วไปของ VA กล่าวว่าการควบคุมตัวควบคุมโดเมนโดยพื้นฐานแล้วทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายได้อย่างเต็มที่
“เราทราบดีว่าวิธีการทำงานของบุคคลเหล่านี้เป็นกลวิธีทั่วไปสำหรับพวกเขา หากพวกเขาบุกรุกบางสิ่ง เช่น ตัวควบคุมโดเมน จะมีไฟล์ที่เรียกว่าไฟล์ SAM ซึ่งเป็นตัวจัดการบัญชีความปลอดภัย ในไฟล์นั้นมีรหัสผ่านของบัญชีทั้งหมด สำหรับผู้ใช้ในเครือข่าย” เดวิสกล่าว “หากพวกเขามีตัวควบคุมโดเมน พวกเขาจะคว้าไฟล์ SAM และเมื่อพวกเขาเข้ารหัสข้อมูล ฉันรู้ว่าพวกเขาได้เข้าถึงตัวควบคุมโดเมนแล้ว รับประกันได้ว่าพวกเขาอาจนำไฟล์ SAM นั้นไปและพวกเขาจะนำมันกลับมา ถอดรหัสในภายหลัง และรับรหัสผ่านทั้งหมดที่อยู่ในระบบนั้น”
พยายามเข้าถึงเครือข่าย DoD?
