軍事機密から社会保障番号に至るまで、政府の機密データを保護するための年間100億ドルの取り組みは、増加するサイバー攻撃に追いつくのに苦労しており、連邦職員や請負業者によって知らず知らずのうちに侵害されている。
AP通信の記録分析によると、2010年以降毎年報告される連邦サイバー事件の少なくとも半数は、国防省や教育省から国立気象局に至るまで、十数機関に散在する職員が関与しているという。
彼らは、偽のフィッシングメールのリンクをクリックしたり、マルウェアが満載された Web サイトを開いたり、詐欺師に騙されて情報を共有したりしました。
そのうちの 1 つは、テニス スターのセリーナ ウィリアムズの動画に接続した後、敵対的なサイトにリダイレクトされました。意図的に行動する人もいますが、最も有名なのは、政府による電話と電子メールの記録の収集を明らかにする文書をダウンロードして漏洩した元国家安全保障局契約者のエドワード・スノーデンです。
さらに、コロラド州モニュメントのロバート・カーティス氏を含む数百万人のアメリカ人の機密情報が入った機器を紛失した契約社員もいた。
「私たちは国民として、政府が私たちに代わって行動してくれると信じているので、腹が立った」と彼は語った。法廷記録によると、カーティス被告は、請負業者が車に残したデータテープが何者かに盗まれ、個人情報窃盗犯らに包囲され、国防総省の現・元職員約500万人とその家族の健康記録が暴露された。
諜報機関当局者が米国に対する最大の脅威はテロよりもサイバーセキュリティだと述べており、ホーム・デポやターゲットなどの企業での侵害がデータ・セキュリティに注目を集めている現在、連邦政府は自らのデータ損失を公表する必要はない。 。
先月、ホワイトハウスの機密扱いでないコンピューターへの侵害ロシアのために働いていると考えられるハッカーによる犯行は当局者ではなくワシントン・ポスト紙によって報じられた。議会共和党議員らは、ハッキングについて知らされていなかったにもかかわらず不満を述べた。
連邦政府のサイバーインシデントの範囲を判断するために、AP通信は数十件の情報公開法申請を提出し、ハッカー、サイバーセキュリティ専門家、政府関係者にインタビューし、システム内のデジタルクラックを説明する文書を入手した。
このレビューは、最初の連邦データ保護法が制定されてから 40 年と 1,000 億ドル以上が経過した現在、政府が進化し続ける敵を出し抜くための知識、人員、システムがないまま、穴をふさぐのに苦労していることを示しています。
侵害に対する懸念は、連邦政府が業務をコンピューターに移行し始めた 1960 年代後半から存在していました。当局は悪意のあるプログラムを嗅ぎ分け、侵入者について警報を発するように設計されたソフトウェアで対応した。それでも、攻撃者は常に侵入経路を見つけ、従業員のユーザー名とパスワード、退役軍人の医療ファイルを含む数千万件の機密の個人記録を暴露してきました。
米国コンピュータ緊急対応チームによると、2009 年から 2013 年にかけて、連邦政府のコンピュータ ネットワーク (.gov と .mils) だけで報告された侵害の数は 26,942 件から 46,605 件に増加しました。昨年、US-CERT は、連邦政府機関、重要インフラを運営する企業、契約パートナーが関与した合計 228,700 件のサイバーインシデントに対応しました。これは2009年の事件の2倍以上だ。
そして、問題の少なくとも半分は従業員の責任です。
たとえば、昨年、連邦政府の違反行為全体の約 21 パーセントは、政策に違反した政府職員によるものであることが判明しました。 16% がデバイスを紛失または盗難に遭った。 12%はコンピュータから印刷された機密情報を不適切に扱った。少なくとも 8% が悪意のあるソフトウェアを実行またはインストールした。ホワイトハウスの年次調査によると、個人情報の共有に誘われた人は6%だった。
AP通信に公開された文書には、労働者がどのように誘い込まれたのかが示されている。
2011 年のクリスマス前後のある事件では、教育省の職員が Amazon.com からリンクをクリックするよう求める電子メールを受信しました。当局はすぐに職員に対し、悪意のあるものである可能性があると警告した。同省は、結果として生じた損害に関する情報をAP通信に公表しなかった。
連邦請負業者の手に渡っている機密情報と技術を保護する任務を負っている国防総省国防保安局からの報告書は、ハッカーが国防総省のネットワークにいかに簡単に侵入できるかを示している。ある軍事ユーザーは、学校に関する Web サイトにアクセスしたときに、コンピューターが感染したというメッセージを受け取りました。当局は攻撃者をドイツに拠点を置くサーバーと思われる場所まで追跡した。
国防次官補兼サイバーセキュリティ顧問のエリック・ローゼンバック氏は、「職員全体を教育しない限り、私たちは常に人的要因による攻撃に対して脆弱になるだろう」と述べた。
政府は2015年から2020年の間にサイバーセキュリティ契約に650億ドルを支出すると見込まれているが、多くの専門家は、その取り組みはさまざまな動機で増え続けるハッカー集団に対抗するには十分ではないと考えている。一部の攻撃ではロシア、イラン、中国が容疑者として指名されているが、窃盗犯は他の貴重なデータを探し求めている。攻撃者のほんの一部だけが捕らえられます。
泥棒や敵対国家ごとに、ロバート・カーティスのような犠牲者が何万人もいます。
彼は自分の事件の詳細について話すことを拒否した。法廷記録によると、2011年9月に泥棒がサンアントニオのガレージにある車に侵入し、国防総省職員の情報が含まれた暗号化されていないコンピューターテープを盗んだ。この車は、これらの記録を保護する任務を負った連邦請負業者の従業員のものでした。
法廷記録によると、犯罪者らはカーティスの名前で現金、融資、信用を得ようとしたり、さらには事業を設立しようとしたりしているという。彼と妻は銀行口座とクレジット口座を凍結した。被害者らが起こした訴訟は棄却された。