GAO: Ciberseguridad del Laboratorio Nacional de Los Álamos Falta

Los esfuerzos de ciberseguridad para proteger una red informática clasificada de un laboratorio nuclear estadounidense siguen sin tener éxito incluso después de una serie de fallas de seguridad, según un nuevo informe de la Oficina de Responsabilidad del Gobierno de los Estados Unidos. ha sufrido múltiples violaciones de seguridad en los últimos años, continúa teniendo "debilidades importantes … en la protección de la confidencialidad, integridad y disponibilidad de la información almacenada y transmitida a través de su red de computadoras clasificada", dijo la GAO en un informe publicado el viernes.

El laboratorio tiene vulnerabilidades en varias áreas "críticas", que incluyen identificar y autenticar usuarios, autorizar el acceso de los usuarios, encriptar información clasificada y mantenimiento de configuraciones de software seguras, dijo el informe GAO.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

"Una razón clave para las deficiencias de seguridad de la información que GAO identificó fue que el laboratorio no implementó completamente una información programa de seguridad para garantizar que los controles se establecieron y mantuvieron efectivamente ", dijo el informe.

El laboratorio no realizó evaluaciones exhaustivas de riesgos para evitar el uso no autorizado, no marcó el nivel de clasificación de la información almacenada en su red clasificada, y capacitación inadecuada para usuarios con responsabilidades de seguridad, dijo el informe de la GAO.

En enero, hubo informes del robo de tres computadoras de la casa de un empleado de laboratorio en Santa Fe, Nuevo México. Informes posteriores dijeron que faltaban hasta 67 computadoras en el laboratorio.

En julio de 2007, el Departamento de Energía de los EE. UU. Pasó a multar al laboratorio por una violación en octubre de 2006 que expuso datos confidenciales. Un trabajador subcontratado descargó y eliminó ilegalmente cientos de páginas de datos del laboratorio mediante memorias USB.

También a mediados de 2007, los legisladores estadounidenses criticaron al laboratorio por los informes de que varios funcionarios habían utilizado redes de correo electrónico no protegidas para compartir información clasificada.

Hubo otros problemas de seguridad en el laboratorio, incluyendo instancias en 2003 y 2004 cuando el laboratorio no pudo dar cuenta de medios electrónicos removibles clasificados, como discos compactos y discos duros extraíbles.

Un portavoz del laboratorio no devuelva inmediatamente un correo electrónico en busca de comentarios sobre el informe GAO. La Administración Nacional de Seguridad Nuclear (NNSA) del DOE, aunque dijo estar de acuerdo en general con el informe, dijo que el laboratorio ha progresado en sus esfuerzos de seguridad cibernética.

Muchas de las deficiencias se abordaron, dijo Michael Kane, administrador asociado del NNSA, en una carta a la GAO. En respuesta a una orden de cumplimiento del DOE emitida en 2007, "se han abordado o se están abordando una serie de cuestiones técnicas clave e inquietudes de implementación de políticas", dijo Kane.

El DOE supervisa el laboratorio, una institución de investigación multidisciplinaria que trabaja en estrategias ciencia en nombre de la seguridad nacional de los EE. UU. El laboratorio es operado conjuntamente por varios grupos, incluidos NNSA y la Universidad de California.