美國能源部企業(yè)評估辦公室(OEA)負(fù)責(zé)在核工業(yè)、網(wǎng)絡(luò)和物理安全領(lǐng)域展開獨立評估。在OEA內(nèi)部,網(wǎng)絡(luò)評估辦公室(OCA)負(fù)責(zé)評估能源部網(wǎng)絡(luò)安全政策的有效性等。
2016年能源部網(wǎng)絡(luò)會議由首席信息官辦公室(OCIO)主辦。會議期間,OCA啟動了一項未事先公布的評估測試。為了測試, OCA在會場大廈內(nèi)安裝了未經(jīng)授權(quán)的數(shù)據(jù)竊取設(shè)備,其結(jié)果證明,未經(jīng)授權(quán)的各方要竊取數(shù)據(jù)相當(dāng)容易。
官員表示,本次測試的目的是為了確定參與者是否會連接政府和個人設(shè)備到充電站。由于多名部門官員關(guān)注OCA在評估之前未與OCIO協(xié)調(diào)的事實,因此監(jiān)察長辦公室啟動特殊調(diào)查,以確定這次評估測試的事實和具體情況。
測試過程
能源部監(jiān)察長辦公室(OIG)發(fā)布的報告指出,在亞特蘭大非政府建筑內(nèi)舉行的網(wǎng)絡(luò)會議展廳里,OCA放置了兩臺偽裝成移動設(shè)備充電站的數(shù)據(jù)收集設(shè)備,從而展開了一場未事先宣布的紅隊演習(xí)。
這兩臺設(shè)備,白色亞克力盒子中貼有能源部的標(biāo)簽,外面貼有能源部網(wǎng)絡(luò)會議“充電站”標(biāo)簽,僅收集設(shè)備名稱、序列號、廠家和型號,以編制統(tǒng)計數(shù)據(jù),未收集個人身份信息。但未事先通知測試這一事實表明,缺乏適當(dāng)?shù)墓苤慰赡軙蚱瓢踩矫娴某绦颉?/p>
會議規(guī)劃代表幾小時內(nèi)發(fā)現(xiàn)了設(shè)備,并向會議主辦方OCIO做了匯報,之后設(shè)備被移除,OCIO管理人員與網(wǎng)絡(luò)評估辦公室的人員為此會面討論了此事。
這份報告發(fā)現(xiàn),設(shè)備被發(fā)現(xiàn)時,安全、執(zhí)法機(jī)構(gòu)的員工未收到通知,他們可能會謹(jǐn)慎考慮參會時充電站來源不明的情況。
報告建議,審查并更新未來網(wǎng)絡(luò)評估指南 ,強(qiáng)化管理監(jiān)督程序,解決識別與響應(yīng)安全威脅的部門政策與培訓(xùn)程序。
京公網(wǎng)安備 11010502049343號