FDIC còn nhiều kẽ hở về bảo mật thông tin

07:54-07/11/2018

Theo báo cáo kiểm toán mới đây của Tổng Thanh tra Tổng Công ty Bảo hiểm tiền gửi Liên bang Mỹ (FDIC), FDIC còn chưa đáp ứng được yêu cầu về bảo mật thông tin liên bang. FDIC đã không hoàn thành đúng thời hạn việc khắc phục các điểm yếu trong hệ thống phần mềm cũng như xử lý các khuyết điểm đã có từ lâu về chính sách bảo mật số hóa. Báo cáo của Tổng Thanh tra cũng nhận định, các khuyết điểm này “hạn chế tính hiệu quả của chương trình bảo mật thông tin và đặt hệ thống công nghệ thông tin của FDIC vào nguy cơ mất an toàn, đe dọa sự toàn vẹn thông tin và khả năng sẵn sàng hoạt động”.

Theo thang điểm chính phủ, FDIC được 3/5 điểm về bảo mật thông tin. Mức điểm số này có nghĩa rằng việc kiểm soát an toàn ở mức “áp dụng đồng bộ” nhưng chưa thực sự hiệu quả. Một số cấu phần trong chương trình bảo mật thông tin của FDIC thậm chí chỉ đạt điểm 1 hoặc 2.

Hầu hết các nhược điểm được nêu trong bản báo cáo của Tổng thanh tra đều được bảo mật để tránh bị lợi dụng tấn công hệ thống của FDIC. Các nhược điểm được công khai, bao gồm các trường hợp chưa kiểm nghiệm về mức độ an toàn bảo mật trên thực tế mà chỉ dựa vào mô tả và cam kết của FDIC.  Báo cáo cũng kết luận việc FDIC không xác định được một cách hiệu quả về giá trị cũng như rủi ro cao nhất của dữ liệu và hệ thống số hóa. Không có hoạt động xác định giá trị và rủi ro, FDIC “không thể chắc chắn về việc ưu tiên nguồn lực hiệu quả nhằm giải quyết các rủi ro có ảnh hưởng tiềm tàng lớn nhất lên những mục tiêu chiến lược đã đề ra”. 

Hồi tháng 4, một báo cáo khác của Tổng Thanh tra và một văn bản đệ trình lên Quốc hội Mỹ cũng đã đề cập tới việc FDIC “qua mắt” Quốc hội trong 8 vụ việc mất an toàn bảo mật thông tin vào các năm 2015 và 2016.  Những vụ việc này bắt nguồn từ nhân viên của FDIC khi nghỉ việc mang theo các dữ liệu nhạy cảm về cá nhân hoặc các tổ chức tài chính. Thống kê cho thấy đã có hơn 10.000 hồ sơ của cá nhân hoặc tổ chức nhận ảnh hưởng từ 8 vụ việc mất an toàn thông tin đã nêu.

Năm 2017, một báo cáo khác của Cơ quan Giải trình Trách nhiệm Chính phủ Mỹ cũng kết luận FDIC không thể đảm bảo về tư cách của nhân viên trước khi cho phép nhân viên truy cập các hồ sơ nhạy cảm. FDIC cũng không hoàn thành việc mã hóa hiệu quả các kết nối từ người dùng đến các một số hệ thống thông tin bảo mật.   

Đ.T.T

Theo [NextGov]