Congress ponders: OPM data breach could total 32 million Americans

As many as 32 million Americans might have had their most sensitive data stolen in a breach of the federal government’s human resources agency computers, lawmakers speculated Wednesday as pressure grew on President Obama to oust the woman who heads the agency that botched its cybersecurity.

Katherine Archuleta, director of the Office of Personnel Management, fought for her job, telling the House Oversight and Government Reform Committee that she, herself, is likely a victim of the breach and takes it seriously.

But her uneven performance, which often included reading rote responses from prepared notes rather than answering direct questions, didn’t sit well with key lawmakers, who called for a housecleaning at the agency.

“I think you’re part of the problem. I think if you want different results, we’re going to have to have different people,” said committee Chairman Jason Chaffetz, Utah Republican.

He also told OPM Chief Information Officer Donna K. Seymour that she was “in over your head.”

The hearing was held just hours after a cybersecurity firm reported that it found federal employees’ login and password information littered across the Internet and said dozens of agencies were vulnerable to the same kind of hack that befell the OPM.

Many workers use the same login and password combination for private purposes as well as work. When hackers breach some systems, they post the contents online. That includes federal employees’ logins, said Recorded Future, a cybersecurity threat intelligence firm.

The OPM has acknowledged losing data in two breaches: One intrusion stole personal information of about 4.2 million current and former federal employees, and hackers in the second breach gained access to the background check system, with some of the most sensitive information on millions of Americans who have filled out the government’s background check packet.

The White House has insisted that President Obama still has faith in Ms. Archuleta, but Congress has lost patience. Her rocky performance Wednesday didn’t help matters.

At one point, Ms. Seymour, Ms. Archuleta’s deputy for technology systems, acknowledged that the agency might have broken federal law and contracts by not informing a key company about the first data breach more than a year ago.

Ms. Archuleta refused to disclose how many people have been affected by the data breaches in total. Although the OPM has calculated that 4.2 million people had data stolen in one breach, officials cannot figure how many had information stolen in the more intrusive hack of federal background check systems.

She vehemently denied press reports that the data of 18 million people had been breached and said the final tally may be lower, but she couldn’t rebut Mr. Chaffetz’s speculation that it could be nearly twice that number.

“So it could be as high as 32 million?” Mr. Chaffetz prodded.

“I will not give a number,” Ms. Archuleta retorted. She again refused to shoulder blame for the breaches. She said the hackers are formidable but her agency is responding quickly to the problem. Her office released a cybersecurity plan that included hiring a cybersecurity adviser by Aug. 1 and trying to learn best practices from industry leaders.

June 24, 2015

人事局の情報流出は最大3200万人分か－議会

　連邦政府人事管理局（ＯＰＭ）のコンピューターが何者かに侵入され、3200万人もの米国人の重要な情報が流出した可能性があり、議会議員らは24日、サイバーセキュリティーの確保に失敗したＯＰＭの女性局長更迭へオバマ大統領への圧力が強まっているとの見方を明らかにした。

　ＯＰＭのアーチュレタ局長は続投を望み、下院監視・政府改革委員会で、自分自身も流出の被害を受けているようであり、深刻に受け止めていると証言した。

　しかし、質問に直接答えることなく、準備した原稿を機械的に読み上げるなど、アーチュレタ氏の態度は局長には似つかわしくなく、議員らは反発、ＯＰＭの改革を求めた。

　チャフェッツ委員長（共和、ユタ州）は「あなたが問題の一部だと考えている。こうならないためには、違う人を選ぶべきだと思う」と語った。

　チャフェッツ氏はさらにＯＰＭの最高情報責任者（ＣＩＯ）、ドナ・セイモア氏に対し「あなたの手に負えるところではない」とまで言った。

　聴聞会が開かれる数時間前、サイバーセキュリティー会社が、連邦職員のログイン、パスワード情報がネット上に拡散していることを発見と報告し、数十の機関が、ＯＰＭに対し行われたようなハッキングに脆弱（ぜいじゃく）であると指摘した。

　職員の多くが、仕事と私用の両方で同じＩＤとパスワードの組み合わせを使用している。ハッカーはシステムに侵入し、その内容をオンラインで公開した。それには連邦職員のログイン情報も含まれている。サイバーセキュリティー脅威情報企業、レコーディド・フューチャー社が明らかにした。

　ＯＰＭは、２回の侵入で情報が流出したことを把握している。１度目の侵入で、現在と過去の連邦職員４２０万人の個人情報が流出し、２度目の侵入でハッカーは、身元確認システムに侵入し、数百万人の米国民が記入した政府の身元確認のための重要な情報の一部を入手した。

　ホワイトハウスは、オバマ大統領はまだ、アーチュレタ局長を信頼していると主張しているが、議会はすでにアーチュレタ氏に見切りをつけている。24日の同氏の対応にも問題があった。

　アーチュレタ氏のもとで情報システムを管理しているセイモア氏は、ＯＰＭが、１年以上前に最初の侵入を受けたことを隠し、連邦法と契約に違反した可能性があることは認めた。

　アーチュレタ氏は、情報流出でどれだけの人が影響を受けたかは明らかにしなかった。ＯＰＭは、一度の侵入で420万人の情報が流出したとみているが、当局者らは、連邦政府の身元確認システムへの侵入でどれだけの情報が流出したかは把握していない。

　アーチュレタ氏は、1800万人の情報が流出したという報道を強く否定し、最終的な数字はもっと少ないと主張した。しかし、チャフェッツ氏のこの数字の２倍近くの可能性があるという指摘には反論しなかった。

　チャフェッツ氏は「3200万人にも上る可能性がある」と指摘した。

　アーチュレタ氏は「数字は出せない」と主張を繰り返した。侵入の責任を取ることを拒否するとともに、ハッカーは手ごわいが、ＯＰＭは問題に直ちに対応すると語った。また、ＯＰＭは、８月１日までにサイバーセキュリティー顧問を雇用するなどのサイバーセキュリティー計画を発表、産業界の指導者からどう対応すべきかを学ぼうとしている。

（６月24日付）