GAO: Los Alamos National Labs Cybersecurity Lacking

Cybersikkerhetsarbeidet for å beskytte et ledende amerikansk nukleært laboratoriers klassifiserte datanettverk mangler fortsatt selv etter at en rekke sikkerheter går bort, ifølge en ny rapport fra US Government Accountability Office.

Los Alamos National Laboratory, som har hatt flere sikkerhetsbrudd de siste årene, fortsetter å ha "betydelige svakheter … i å beskytte konfidensialiteten, integriteten og tilgjengeligheten av informasjon lagret på og overført over sitt klassifiserte datanettverk", sa GAO i en rapport utgitt fredag.

Lab har sårbarheter i flere "kritiske" områder, blant annet å identifisere og autentisere brukere, godkjenne brukertilgang, kryptere klassifisert informasjon og Vedlikehold av sikre programvarekonfigurasjoner, sier GAO-rapporten.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"En viktig årsak til informasjonssviktene GAO identifiserte var at laboratoriet ikke hadde fullført en informasjon sikkerhetsprogram for å sikre at kontrollene ble effektivt opprettet og vedlikeholdt, sier rapporten.

Lab har ikke gjennomført omfattende risikovurderinger for å sikre mot uautorisert bruk, har ikke merket klassifikasjonsnivået for informasjon lagret på sitt klassifiserte nettverk, og har Utilstrekkelig opplæring for brukere med sikkerhetsansvar, uttalte GAO-rapporten.

I januar var det rapporter om tyveri på tre datamaskiner fra en labmedarbeider hjemme i Santa Fe, New Mexico. Senere rapporter sa at så mange som 67 datamaskiner manglet fra laboratoriet.

I juli 2007 flyttet US Department of Energy for å finpusse laboratoriet for en oktober 2006 brudd på de utsatte klassifiserte dataene. En kontraktsarbeider ulovlig lastet ned og fjernet hundrevis av sider med data fra laboratoriet ved hjelp av USB-minnepinner.

Også i midten av 2007 kritiserte amerikanske lovgivere laboratoriet etter at flere tjenestemenn hadde brukt ubeskyttede e-postnett for å dele høyt klassifisert informasjon.

Det var andre sikkerhetsproblemer i laboratoriet, inkludert forekomster i 2003 og 2004 da laboratoriet ikke kunne ta hensyn til klassifiserte, flyttbare elektroniske medier, for eksempel CD-plater og flyttbare harddisker.

En talsmann for lab ikke umiddelbart returnere en e-post søker kommentar på GAO rapporten. DOEs Nuclear Security Administration (NNSA), mens den sa det generelt var enig med rapporten, sa at laboratoriet har gjort fremskritt i sin cybersikkerhetsarbeid.

Mange av manglene er tatt opp, sier Michael Kane, assisterende administrator for NNSA, i et brev til GAO. Som svar på en DOE-samsvarsbestemmelse utstedt i 2007, har "en rekke viktige tekniske problemer og problemstillinger knyttet til implementering av politikk blitt eller er i ferd med å bli behandlet," sa Kane.

DOE fører tilsyn med laboratoriet, en tverrfaglig forskningsinstitusjon som arbeider med strategisk vitenskap på vegne av amerikansk nasjonal sikkerhet. Labbet drives av flere grupper, inkludert NNSA og University of California.