Sen. Jon Tester (D-Mont.) เรียกร้องให้ผู้ตรวจการทั่วไปของสำนักงานบริหารงานบุคคลตรวจสอบระบบข้อมูลสำคัญที่ OPM ใช้ในการจัดเก็บข้อมูลการสอบสวนประวัติส่วนตัวในจดหมายถึง OPM IG Patrick McFarland ผู้ทดสอบแสดงความกังวลเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในระบบ EPIC suite ใน OPM’s Federal Investigative Service (OPM-FIS)“เมื่อวันที่ 29 มิถุนายน OPM สัญญาว่าจะประเมินแบบสอบถามอิเล็กทรอนิกส์สำหรับการประมวลผลการสืบสวน (e-QIP) อีกครั้ง และได้ทำการออฟไลน์เป็นระยะเวลาสี่ถึงหกสัปดาห์” เขาเขียน “อย่างไรก็ตาม
ฉันกังวลว่าชุดผลิตภัณฑ์ที่ใหญ่กว่าซึ่งใช้ e-QIP อยู่นั้นเรียกว่า ‘EPIC’
ยังคงมีความเสี่ยงแม้ว่าจะมีการลงทุนจำนวนมากในระบบก็ตาม”ผู้ทดสอบขอให้ IG ดำเนินการตรวจสอบในระหว่างและหลังการตรวจสอบ 30 วันที่วางแผนไว้โดยสำนักงานการจัดการและงบประมาณ และให้คำแนะนำแก่ OPM
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
OPM กล่าวในแถลงการณ์ว่าการตัดสินใจที่จะลด e-QIP นั้นไม่ได้เกี่ยวข้องกับการละเมิดทางไซเบอร์ครั้งใหญ่ที่ได้รับเมื่อต้นปีนี้
ระบบ e-QIP ซึ่งพัฒนาขึ้นครั้งแรกในปี 2546 ช่วยให้พนักงาน ผู้รับเหมา หรือผู้มีโอกาสเป็นพนักงานเพิ่มข้อมูลลงในแบบฟอร์ม SF-86 และ SF-85P ผ่านการเชื่อมต่ออินเทอร์เน็ตที่ปลอดภัย ในช่วงปีที่ผ่านมา OPM ได้เริ่มโครงการนำร่องเพื่อให้ผู้ใช้เซ็นชื่อแบบดิจิทัลในแบบฟอร์มของตน
ในการตอบสนองต่อบันทึกข้อตกลงความท้าทายด้านการจัดการระดับสูงของสำนักงาน IG ประจำปีงบประมาณ 2014 Katherine Archuleta ผู้อำนวยการ OPM ตั้งข้อสังเกตว่าระบบ EPIC ไม่ได้ดำเนินการด้วยการประเมินที่ครอบคลุมซึ่งประกาศว่าระบบเป็นไปตามข้อกำหนดด้านความปลอดภัยหรือไม่
“ช่องโหว่นี้อาจเปิดเผยทั้งระบบ e-QIP ของ EPIC suite
และข้อมูลทั้งหมดที่อยู่ในนั้น” ผู้ทดสอบระบุ ” โดยเฉพาะอย่างยิ่ง การละเมิดดังกล่าวจะเปิดเผยองค์ประกอบจากแบบฟอร์มมาตรฐาน-86 (SF-86s) ที่กรอกเสร็จในระหว่างการสืบสวนผู้สมัครปัจจุบันและอดีตหลายล้านคนเพื่อขอการรับรองความปลอดภัย แบบฟอร์มนี้ประกอบด้วยข้อมูลส่วนบุคคลที่น่าทึ่ง รวมถึงระดับหนี้สินของผู้สมัคร ประวัติการใช้สารเสพติด และพฤติกรรมทางเพศ”
แม้ว่า OMB จะสั่งให้หน่วยงานในเดือนมิถุนายนดำเนินการมากกว่า 30 วันเพื่อปรับปรุงความปลอดภัยของระบบและข้อมูลของพวกเขา แต่การตรวจสอบแบบแฟลชในวันที่ 17 มิถุนายนโดย OPM IG เปิดเผยว่าหน่วยงานจำเป็นต้องปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดและกำหนดขอบเขตและค่าใช้จ่ายทั้งหมดของการรักษาความปลอดภัยด้านไอที อัปเกรด
“ในกรณีของการอัปเกรดชุดโปรแกรม EPIC จำเป็นสำหรับ OPM ที่จะต้องดำเนินการวางแผนการอัปเกรดระบบอย่างเหมาะสมและถี่ถ้วน ปรึกษากับผู้จำหน่ายหลายราย และพัฒนาระบบและซอฟต์แวร์เพื่อให้ได้รับการอนุญาตที่เหมาะสม” ผู้ทดสอบระบุ ” เนื่องจากค่าใช้จ่ายโดยประมาณทั้งหมดในการอัปเดตชุด EPIC จากปีงบประมาณ 2010-2015 นั้นมากกว่า 164 ล้านดอลลาร์ จึงเป็นเรื่องที่น่าลำบากใจที่แนวปฏิบัติที่ดีที่สุดในการจัดการระบบไอทีดูเหมือนจะไม่เกิดขึ้น”
เขาเสริมว่าเป็นเรื่องสำคัญที่สำนักงานของ McFarland จะต้องดำเนินการอย่างขยันขันแข็งในการกำกับดูแล EPIC โดยเฉพาะอย่างยิ่งเมื่อพิจารณาคำขอตัวเลือกการเร่งความเร็วมูลค่า 23 ล้านดอลลาร์ของ OPM ในปีงบประมาณ 2558
เมื่อวันที่ 4 มิถุนายนOPM แจ้งพนักงานปัจจุบันและอดีตพนักงานของรัฐบาลกลางจำนวน 4 ล้านคนว่าข้อมูลส่วนบุคคลของพวกเขาอาจถูกเปิดเผยในการละเมิดทางไซเบอร์ ตามมาด้วยข่าวการละเมิดครั้งที่สองที่เปิดเผยข้อมูลจาก SF-86
Credit : สล็อตออนไลน์ / สล็อตยูฟ่าเว็บตรง
