Cybersecurity lapses leave government agencies vulnerable to hackers

Even though there have been at least two dozen mass breaches of government computer systems since 2013, many federal agencies continue to have a lax culture and poor security provisions to repel the growing threat from hackers and cyberattacking states such as Russia, Iran and China, internal investigative reports show.

From the State Department to the Transportation Department, internal inspectors general have flagged, over the last few months, widespread vulnerabilities while noting that prior security recommendations have gone unheeded, the reports reviewed by The Washington Times show.

One of the nation’s premier cybersecurity experts said the ugly truth is that the U.S. government hasn’t done much more than private industry to fortify itself against the growing threat of cyberwarfare.

“It would be wrong to suspect that the federal government is any better at this than the private sector. They aren’t necessarily worse; they are about the same,” said Paul Rosenzweig, a former top Department of Homeland Security policy aide and now a visiting fellow at the Heritage Foundation.

The think tank recently released a report documenting at least 23 publicly disclosed computer system breaches at federal agencies. And experts say the actual number is likely much higher, with some breaches never disclosed.

“This is a broad attack on U.S. research and development,” said Shawn Henry, the FBI’s former top cybersecurity expert and now the president of CrowdStrike, a private company that helps businesses fight cybersecurity threats.

“It’s not like when a bomb goes off [where] we can see the damage from that. It’s not easy to see the damage from these attacks, so it really moves down the priority list,” Mr. Henry said.

In recent months the State Department, U.S. Postal Service, National Oceanic and Atmospheric Administration and the White House have all experienced system hacks that have interrupted their computer operations.

Many agencies have fallen behind on system updates, leaving federal networks ever more vulnerable, the inspectors general warn.

The State Department’s inspector general wrote in a recent report that the department, which holds many of the nation’s most sensitive diplomatic secrets and embassy cables, has failed to remedy several information system concerns that have piled up over several years.

“Although we acknowledge the department’s actions to improve its information security program, we continue to find security control deficiencies in multiple information security program areas that were previously reported in FY 2010, FY 2011, FY 2012, and FY 2013. Over this period, we consistently identified similar control deficiencies in more than 100 different systems,” investigators wrote in the audit.

In fact, the inspector general’s office identified 62 unresolved recommendations to make improvements, including 29 that date from at least 2013.

A recent Department of Transportation IG’s report highlighted similar system shortcomings due to a lack of monitoring and security safety training programs.

November 23, 2014

政府機関でサイバーセキュリティー対策に遅れ

　2013年以降、少なくとも24件の政府のコンピューターシステムに大規模な侵入があったにもかかわらず、連邦政府省庁の多くは依然、意識が低く、セキュリティーへの備えも貧弱で、ロシア、イラン、中国などのハッカーやサイバー攻撃からの増大する脅威を排除できずにいる。政府内部の調査報告で明らかになった。

　ワシントン・タイムズ紙が報告を検証した結果、国務省から運輸省まで、政府内の監察官らはこの数カ月間、広範囲にわたる脆弱（ぜいじゃく）性を警告してきたが、重要なセキュリティー勧告が無視されてきたと指摘していることが明らかになった。

　有力なサイバーセキュリティーの専門家の一人は、残念なことに、増大するサイバー戦の脅威に対する政府の対応は、民間企業より劣っていると指摘した。

　国土安全保障省の元政策担当首席補佐官で、現在はシンクタンク、ヘリテージ財団の客員研究員のポール・ローゼンツワイグ氏は「この点で、連邦政府の方が民間部門よりも優れているのではないかと考えるなら、それは間違いだ。まるっきり劣っているというわけではないが、ほぼ同程度だ」と語った。

　ヘリテージ財団が最近公表した報告によると、連邦政府機関のコンピューターシステムへの侵入は、少なくとも23件が公表されている。専門家らは、公表されているのは一部であり、実際にはずっと多いのではないかと指摘している。

　連邦捜査局（ＦＢＩ）のサイバーセキュリティー専門家を務め、現在は企業のサイバーセキュリティーへの対応を支援する民間企業、クラウドストライクの社長であるショーン・ヘンリー氏は「米国の研究・開発が広範囲にわたって攻撃を受けている」と語った。

　「爆弾が爆発した時とは違い、目に見える被害はない。攻撃による被害を把握することは容易ではなく、そのため、優先順位の下位に置かれているのが実情だ」

　国務省、郵政公社、海洋大気庁、ホワイトハウスのシステムがこの数カ月間に侵入され、コンピューターの運用が妨害を受けた。

　システムの更新が遅れている省庁は多く、連邦政府のネットワークはかつてないほど脆弱になっていると監察官らは警告している。

　国務省の監察官は、最近の報告で、同省がここ何年間かの間の情報システムをめぐる懸念に対応していないと指摘した。国務省は、重要な外交極秘情報や大使館との通信を保有している。

　監査報告は「情報セキュリティープログラムを改善するための措置を国務省が取っていることは承知している。しかし、2010、2011、2012、2013年度にすでに報告されていたセキュリティー管理の欠陥が、複数の情報セキュリティープログラムで、依然として見つかっている。この期間に継続的に、100以上のシステムで同様の管理上の欠陥を発見した」と指摘している。

　実際に監察官室は、改善を求めた62件の勧告が実施されていないことを確認しており、そのうちの29件は少なくとも2013年以降のものだ。

　運輸省監察官の最新報告では、監視・セキュリティー訓練プログラムがないことが原因のシステムの欠陥が取り上げられている。

（11月23日付）