Datos más confidenciales en computadoras portátiles del gobierno sin encriptar

Solo el 30 por ciento de la información confidencial almacenada en computadoras portátiles y dispositivos móviles del Gobierno de EE. UU., Incluida la información personal de residentes de EE. UU., Se cifró hace un año, a pesar de una serie de infracciones de datos en agencias gubernamentales en los últimos años. informe.

El informe, de la Oficina de Responsabilidad Gubernamental de EE. UU., encontró que el 70 por ciento de la información confidencial almacenada en computadoras portátiles y dispositivos móviles en 24 agencias principales de EE. UU. no estaba cifrada hasta septiembre pasado. El informe GAO definió varios tipos de datos como confidenciales, incluidos registros médicos personales, otra información personal, datos de cumplimiento de la ley y registros esenciales para la seguridad nacional.

"Aunque todas las agencias han iniciado esfuerzos para implementar tecnologías de cifrado, ninguna documentó planes integrales para guiar las actividades de implementación de cifrado ", dijo el informe. "Como resultado, la información federal puede permanecer en mayor riesgo de divulgación, pérdida y modificación no autorizadas".

El informe sigue a una serie de percances de seguridad por parte de las agencias gubernamentales de los EE. UU. En los últimos años. En marzo de 2007, el Servicio de Rentas Internas de EE. UU. Informó que 490 computadoras portátiles desaparecieron o fueron sustraídas en un período de tres años. Es probable que muchas de esas computadoras portátiles contengan información personal sobre los contribuyentes estadounidenses, según un informe del auditor del IRS.

En septiembre de 2006, el Departamento de Comercio de Estados Unidos informó que se perdieron o se robaron 1.137 computadoras portátiles desde 2001, con 249 de ellas algunos datos personales. Otras agencias de los EE. UU. También informaron sobre computadoras portátiles perdidas o robadas.

En mayo de 2006, el Departamento de Asuntos de Veteranos informó que una computadora portátil y un disco duro con información personal de 26.5 millones de veteranos militares y sus cónyuges fueron robados de la casa de un empleado en el agencia. Los oficiales de policía recuperaron el hardware y la agencia comenzó a encriptar sus computadoras portátiles ese mismo año.

El informe GAO señala que varias leyes, incluida la Ley Federal de Administración de Seguridad de la Información (FISMA) de 2002, requieren que las agencias protejan sus datos. Además, la Oficina de Administración y Presupuesto (OMB) de la Casa Blanca recomendó por primera vez en 2006, luego exigió en mayo de 2007, que las agencias codifiquen todos los datos confidenciales en las computadoras portátiles.

Pero el mandato de OMB y el informe GAO necesidad de seguridad de la información en el gobierno de los EE. UU., dijo Phil Dunkelberger, CEO de PGP, un proveedor de encriptación y otros productos de seguridad, en una entrevista. El gobierno de los EE. UU. Necesita enfocarse en un enfoque más amplio de seguridad cibernética, incluida una mejor protección de los datos en las redes gubernamentales, dijo.

"¿Cuándo vamos a tomarnos en serio la protección de los datos? Cifrado basado en roles y basado en políticas, no solo el cifrado del dispositivo? " él dijo. "Hasta que no nos tomemos en serio la visión estratégica de los datos (…) no tendremos un gran impacto".

Incluso si las computadoras portátiles están encriptadas, el gobierno todavía enfrenta problemas de seguridad con medios extraíbles como memorias USB. adicional. Y muchas agencias estadounidenses enfrentan desafíos al encontrar tiempo para encriptar miles de computadoras portátiles y administrar claves de cifrado una vez que los dispositivos están cifrados.

Muchos dispositivos gubernamentales pueden ser demasiado viejos para usar tecnología de encriptación reciente, y los empleados gubernamentales pueden estar usando dispositivos no estándar dispositivos para acceder a información sensible, agregó Dunkelberger. Con todos esos problemas, Dunkelberger dijo que no está sorprendido por el informe de la GAO.

El gobierno de los EE. UU. Tiene "mandatos muy bien intencionados para proteger los datos, y sin embargo, la forma en que lo han llevado a cabo es una falacia". Dunkelberger agregó. "La idea de que se pueda enviar una circular de OMB y de repente, todo se arregla mágicamente … es una expectativa completamente equivocada".

Dos miembros demócratas del Comité de Seguridad Nacional de la Cámara de Representantes dijeron que estaban decepcionados con la encriptación de la agencia estadounidense esfuerzos. El comité anunció el informe de la GAO la noche del lunes.

"El cifrado no es una opción, es un mandato", dijo en un comunicado el representante Bennie Thompson, un demócrata de Mississippi y presidente del comité. "Desafortunadamente, no me sorprende que, a pesar de los mandatos de la OMB, el gobierno federal solo esté en el 30 por ciento. Hacer las inversiones adecuadas en ciberseguridad hoy nos impedirá pagar caro a largo plazo".

Agencias federales "se queda muy atrás del sector privado" en la protección y el cifrado de datos, agregó la representante Zoe Lofgren, una demócrata de California, en un comunicado. "Me preocupa que nuestro gobierno no se esté moviendo lo suficientemente rápido en sus esfuerzos por asegurar sus sistemas y procedimientos", agregó.