Mest følsomme data på offentlige bærbare datamaskiner Ikke-kryptert

Bare 30 prosent av sensitiv informasjon lagret på bærbare datamaskiner og mobilenheter fra USA, inkludert personopplysninger fra amerikanske innbyggere, ble kryptert for et år siden, til tross for en rekke data brudd på myndigheter de siste årene, ifølge en revisors rapport.

Rapporten, fra US Government Accountability Office, fant at 70 prosent av sensitiv informasjon som ble holdt på bærbare datamaskiner og mobile enheter hos 24 store amerikanske byråer ble ukryptert fra september i fjor. GAO-rapporten definerte flere typer data som sensitive, inkludert personlige medisinske journaler, annen personlig informasjon, rettshåndhevelsesdata og registre som er avgjørende for hjemlandssikkerhet.

"Mens alle byråer har startet arbeidet med å distribuere krypteringsteknologier, hadde ingen dokumentert omfattende planer å veilede kryptering implementering aktiviteter, "rapporten sa. "Som følge av dette kan føderal informasjon forbli med økt risiko for uautorisert avsløring, tap og modifikasjon."

Rapporten følger en rekke sikkerhetsmishaps av amerikanske myndigheter de siste årene. I mars 2007 rapporterte US Internal Revenue Service at 490 bærbare datamaskiner forsvant eller ble stjålet i en treårsperiode. Det var sannsynlig at mange av disse bærbare datamaskiner inneholdt personlig informasjon om amerikanske skattebetalere, ifølge en IRS-revisors rapport. I september 2006 rapporterte det amerikanske handelsdepartementet at 1 137 bærbare datamaskiner ble tapt eller stjålet siden 2001, hvorav 249 av dem inneholdt noen personlige data. Andre amerikanske byråer rapporterte også om manglende eller stjålet bærbare datamaskiner.

Institutt for veteranutgifter rapporterte i mai 2006 at en bærbar PC og harddisk med personlig informasjon om 26,5 millioner militære veteraner og deres ektefeller ble stjålet fra en ansattes hjem byrå. Retshåndhevelse offiserer gjenvunnet maskinvaren, og byrået begynte å kryptere sine bærbare datamaskiner senere samme år.

GAO-rapporten bemerker at flere lover, inkludert Federal Information Security Management Act (FISMA) i 2002, krever byråer for å beskytte deres data. I tillegg anbefales det hvite husets kontor for ledelse og budsjett (OMB) først i 2006, og deretter kreves i mai 2007, at byråer krypterer alle sensitive data på mobile datamaskiner.

Men OMB-mandatet og GAO-rapporten savner i stor grad en større Behov for informasjonssikkerhet i den amerikanske regjeringen, sier Phil Dunkelberger, administrerende direktør i PGP, en leverandør av kryptering og andre sikkerhetsprodukter, i et intervju. Den amerikanske regjeringen trenger å fokusere på en bredere tilnærming til cybersikkerhet, blant annet bedre beskyttelse av data på offentlige nettverk, sa han.

"Når skal vi bli seriøse om å beskytte data - rollebasert og policybasert kryptering, ikke bare enhetskryptering? " han sa. "Inntil vi er seriøse om å ta en strategisk visning av data … vil vi ikke få stor innvirkning."

Selv om bærbare datamaskiner krypteres, står regjeringen fortsatt overfor sikkerhetsproblemer med flyttbare medier som tommelfingerdrivere, han la til. Og mange amerikanske byråer står overfor utfordringer med å finne tid til å kryptere tusenvis av bærbare datamaskiner og administrere krypteringsnøkler når enhetene er kryptert, sa han.

Mange offentlige enheter kan være for gamle til å bruke nylig krypteringsteknologi, og regjeringsarbeidere kan bruke ikke-standardiserte enheter for tilgang til sensitiv informasjon, legger Dunkelberger til. Med alle disse problematikkene sa Dunkelberger at han ikke var overrasket over GAO-rapporten.

Den amerikanske regjeringen har "meget hensiktsmessige mandater for å sikre data, og likevel, måten de har gått på, er en slags feil" Dunkelberger lagt til. "Ideen om at du kan sende ut en sirkulær fra OMB og plutselig, blir alt magisk fast. Det er en helt feil forventning."

To demokratiske medlemmer av Det amerikanske representantskapet Homeland Security Committee sa at de var skuffet over amerikanske byrås kryptering anstrengelser. Utvalget annonserte GAO-rapporten sent på mandag.

"Kryptering er ikke et alternativ, det er et mandat," sier representant Bennie Thompson, en Mississippi-demokrat og leder av komiteen, i en uttalelse. "Dessverre er jeg ikke overrasket over at til tross for mandatene fra OMB, er den føderale regjeringen bare 30 prosent av veien der. Å gjøre de riktige investeringene i cybersikkerhet i dag, vil holde oss i å betale dyrt i det lange løp."

Federal agencies "lag langt bak den private sektoren" i å beskytte og kryptere data, representant Zoe Lofgren, en California Democrat, lagt til i en uttalelse. "Jeg er opptatt av at vår regjering ikke beveger seg fort nok i sin innsats for å sikre sine systemer og prosedyrer," la hun til.