Un nuevo informe del Senado publicado el martes encontró que la “gran mayoría de agencias federales” tenían programas de seguridad de la información ineficaces que arriesgaban la exposición de los datos críticos del gobierno.
Los inspectores generales de las agencias que evalúan la ciberseguridad del gobierno federal dieron a las agencias más grandes una calificación general de C- en una escala de A a F, según la encuesta del Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado.
La peor puntuación de D fue para varias agencias, incluidos los Departamentos de Comercio, Educación, Estado, Transporte y Asuntos de Veteranos, así como la NASA, la Oficina de Gestión de Personal y la Administración del Seguro Social.
Los autores del informe, los senadores Rob Portman, republicano de Ohio, y Gary Peters, demócrata de Michigan, escribieron que ninguna agencia recibió una calificación A por su programa de ciberseguridad.
«Este informe muestra una falla sostenida para abordar las vulnerabilidades de seguridad cibernética en nuestras agencias federales, una falla que deja la seguridad nacional y la información personal sensible expuesta al robo y daño por parte de piratas informáticos cada vez más sofisticados», dijo Portman en un comunicado. «Me preocupa que muchas de estas vulnerabilidades hayan estado pendientes durante la mayor parte de una década; el pueblo estadounidense se merece algo mejor».
Las malas calificaciones reflejan la incapacidad del gobierno federal para proteger adecuadamente la información personal, la incapacidad de aislar a los usuarios no autorizados de los sistemas sensibles y de actualizar su tecnología o mantener un inventario de su tecnología de la información.
Las debilidades de la seguridad cibernética del gobierno federal han recibido un nuevo escrutinio a raíz del hackeo de SolarWinds al software de administración de redes informáticas que comprometió a nueve agencias federales y fue detectado el año pasado. La administración Biden culpó al Servicio de Inteligencia Exterior de Rusia (SVR) por la campaña de piratería Solarwinds, y el informe del Senado deja en claro que el ciberespionaje dentro del gobierno es accesible para actores mucho menos sofisticados.
“Por ejemplo, el Departamento de Estado no pudo proporcionar documentación de los acuerdos de acceso de los usuarios para el 60% de los empleados de la muestra evaluados con acceso a la red clasificada del departamento. Esta red contiene datos que, si se divulgan a una persona no autorizada, podrían causar ‘graves daños a la seguridad nacional’ ”, se lee en el informe. «Quizás más preocupante, [the State Department] no pudo cerrar miles de cuentas después de períodos prolongados de inactividad en sus redes clasificadas y sensibles pero no clasificadas «.
Algunos empleados que fueron despedidos, renunciaron o se jubilaron todavía tenían acceso a sus cuentas gubernamentales 152 días después de que dejaron el Departamento de Estado, según el informe.
Las agencias que obtuvieron calificaciones relativamente más altas aún han experimentado desafíos de ciberseguridad. Por ejemplo, la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID) obtuvo una B en el informe del Senado. En mayo de 2021, Microsoft dijo que observó a piratas informáticos que violaban los sistemas de USAID para apuntar a 3.000 cuentas de correo electrónico en más de 150 organizaciones diferentes.
Microsoft dijo que los ciberatacantes responsables del hack de SolarWinds también estaban detrás de la campaña de hackeo dirigida a la cuenta Constant Contact de USAID. Constant Contact es una empresa que fabrica software de marketing por correo electrónico.
El panorama completo de la información gubernamental sensible expuesta a los piratas informáticos no está claro. El viernes, el Departamento de Justicia reveló que el ataque a SolarWinds también comprometió cuentas de correo electrónico en 27 oficinas de fiscales de Estados Unidos diferentes, incluidas Washington y Nueva York.
Portman dijo que ofrecerá una nueva legislación para proteger mejor los datos de los estadounidenses y Peters, quien preside el panel de seguridad nacional, dijo que trabajaría con el republicano de Ohio para garantizar que las agencias federales cambien sus prácticas de ciberseguridad.