Sen. James Lankford (R-Okla.) กำลังตั้งคำถามถึงความสามารถของสำนักงานบริหารงานบุคคลในการรักษาความปลอดภัยข้อมูลและระบบ และเขาต้องการคำตอบLankford ประธานคณะอนุกรรมการด้านความมั่นคงแห่งมาตุภูมิและกิจการภาครัฐด้านกิจการกำกับดูแลและการจัดการของรัฐบาลกลางได้ส่งจดหมายถึงผู้อำนวยการ OPM Kathleen Archuleta ในวันนี้เพื่อหาคำตอบสำหรับคำถามเก้าข้อภายในวันที่ 22 มิถุนายน
Lankford กล่าวว่าแม้ว่า OPM จะยังคงกล่าวว่าความปลอดภัยในโลกไซเบอร์
มีความสำคัญสูงสุด แต่การละเมิดข้อมูลพนักงานของรัฐบาลกลางครั้งที่สามในปีที่แล้วก็เป็นปัญหา
“การตอบสนองที่ไม่สอดคล้องกันของ OPM ต่อ USIS และการละเมิด KeyPoint ยิ่งทำให้ความกังวลของเราลึกซึ้งยิ่งขึ้นเกี่ยวกับความสามารถของ OPM ในการประเมินความปลอดภัยของระบบไอทีภายในด้วยตนเอง ซึ่ง
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
มีแนวโน้มที่จะเสี่ยงเช่นเดียวกัน และส่งผลให้เกิดการรั่วไหลที่ร้ายแรงกว่ามาก” Lankford เขียน “เพื่อตอบสนองต่อการละเมิด USIS ที่รายงานด้วยตนเอง ซึ่งเปิดโปงข้อมูลระบุตัวบุคคลของพนักงานรัฐบาลกลาง 25,000 คน OPM ถึงขั้นระงับการทำงานกับบริษัทและตัดความสัมพันธ์ทั้งหมดกับ USIS ในที่สุด ในทางตรงกันข้าม OPM ให้ KeyPoint ตบที่ข้อมือเพื่อหาช่องโหว่ ซึ่งส่งผลกระทบต่อพนักงานของรัฐบาลกลาง 48,000 คน และตรวจพบโดย Department of Homeland Security เท่านั้น ในขณะนั้น OPM ได้ออกแถลงการณ์โดยสัญญาว่า ‘KeyPoint ได้ทำงานอย่างใกล้ชิดกับ OPM เพื่อใช้การควบคุมความปลอดภัยเพิ่มเติม ซึ่งจะช่วยให้เครือข่ายได้รับการปกป้องมากขึ้น
อีเมลถึง OPM เพื่อขอความคิดเห็นเกี่ยวกับจดหมายไม่ได้ถูกส่งกลับทันที
ความท้าทายของ OPM เกี่ยวกับความปลอดภัยทางไซเบอร์ได้รับการบันทึกไว้เป็นอย่างดี ผู้ตรวจการทั่วไปพบซ้ำแล้วซ้ำเล่าในเดือนพฤศจิกายน 2014 ว่าหน่วยงานดังกล่าวถดถอยในด้านความปลอดภัยด้านไอทีบางส่วน
“[O] การตรวจสอบของคุณยังระบุด้วยว่าจาก 21 ระบบ OPM ที่ครบกำหนดสำหรับการประเมินความปลอดภัยและการอนุญาตในปีงบประมาณ 2014 มี 11 ระบบที่ไม่เสร็จทันเวลาและกำลังดำเนินการโดยไม่ได้รับอนุญาตที่ถูกต้อง” ผู้ตรวจสอบเขียนในรายงานครึ่งปีของ IG ต่อ สภาคองเกรส ออกในเดือนมีนาคม “การเพิ่มขึ้นอย่างมากของจำนวนระบบที่ทำงานโดยไม่มีการอนุญาตที่ถูกต้องนั้นน่าตกใจ และแสดงถึงปัญหาเชิงระบบของการวางแผนที่ไม่เพียงพอโดยสำนักงานโปรแกรม OPM ในการอนุญาตระบบข้อมูลที่พวกเขาเป็นเจ้าของ เราเชื่อว่าปริมาณและความไวของระบบ OPM ที่ทำงานโดยไม่ได้รับอนุญาตนั้นแสดงถึงจุดอ่อนที่สำคัญในโครงสร้างการควบคุมภายในของโปรแกรมความปลอดภัยด้านไอทีของหน่วยงาน”
ผู้ตรวจสอบยังกล่าวอีกว่า OPM ไม่ได้รักษาสินค้าคงคลังของเซิร์ฟเวอร์ ฐานข้อมูล และอุปกรณ์เครือข่ายที่ครอบคลุม ดังนั้นจึงไม่ชัดเจนว่าเป็นไปตามข้อกำหนดการจัดการการกำหนดค่าหรือสามารถสแกนหาช่องโหว่ได้หรือไม่ IG กล่าวว่าข้อตกลงด้านความปลอดภัยข้อมูลหลายฉบับระหว่าง OPM และระบบที่ดำเนินการโดยผู้รับเหมาได้หมดอายุลงแล้ว
OPM ต้องการเงินทุนเพิ่มเติม
จดหมายของ Lankford เป็นส่วนหนึ่งของความเร่าร้อนที่เพิ่มขึ้นใน Capitol Hill
คืนวันอังคาร Archuleta และเจ้าหน้าที่จาก DHS และสำนักงานผู้อำนวยการข่าวกรองแห่งชาติได้บรรยายสรุปสมาชิกคณะกรรมการข่าวกรองของสภาเกี่ยวกับการละเมิดข้อมูล
อ่านเพิ่มเติม: งบประมาณ
ตามรายงานที่เผยแพร่ ตัวแทน Devin Nunes (R-Calif.) ประธานคณะกรรมการกล่าวกับผู้สื่อข่าวว่า OPM, DHS และ ODNI ยังคงพยายามหาขอบเขตและขอบเขตของการสูญหายของข้อมูล
ตัวแทน Jason Chaffetz (R-Utah) วางแผนที่จะจัดให้มีการพิจารณาคดีครั้งแรกเกี่ยวกับการละเมิดหลายครั้ง ชาฟเฟตซ์ส่งคำแนะนำไปยังสมาชิกคณะกรรมการเมื่อวันอังคารโดยบอกให้พวกเขาวางแผนสำหรับการพิจารณาคดีในวันที่ 10 มิถุน
