Hoje marca a conclusão de uma saga de anos que começou quando John Oliver fez um segmento sobre Neutralidade da Rede que era tão popular que colocou o sistema de comentários da FCC de joelhos. Dois anos depois, está finalmente perto de abordar todas as questões trazidas em uma investigação do Escritório Geral de Prestação de Contas.
O relatório abrange numerosos problemas de segurança cibernética e TI, alguns dos quais a FCC abordou rapidamente, alguns não tão rapidamente e alguns que ainda estão trabalhando.
"O relatório do GAO de hoje deixa claro o que sabíamos o tempo todo: o sistema da FCC para coletar informações públicas tem problemas", disse a comissária Jessica Rosenworcel ao TechCrunch. "A agência precisa consertar totalmente essa bagunça porque é assim que a FCC deve receber a contribuição do público. Mas, como este relatório demonstra, temos trabalho real a fazer."
Aqui está a linha do tempo básica dos eventos, que parecem ter sido há muito tempo:
- Maio de 2017: O segmento de John Oliver vai ao ar, e no dia seguinte a FCC afirma que foi atingida por ataques de negação de serviço que derrubaram seu sistema de comentários, o ECFS. (Na verdade, era apenas o grande volume de pessoas que queriam compartilhar sua opinião sobre o plano da FCC para acabar com a neutralidade da rede.)
- Julho de 2017: Apesar dos pedidos de detalhes, a FCC se recusa a divulgar quaisquer detalhes sobre o ataque cibernético, apesar das exigências do Congresso, dizendo que a ameaça estava "em andamento". (Suas investigações não tinham de fato determinado intenção maliciosa e sua conta oficial estava em dúvida internamente desde o início.)
- Agosto de 2017: O Congresso pede uma investigação independente das reivindicações da FCC e seu sistema de comentários. (Esse é o relatório divulgado hoje. Também nessa época outro "hack" improvável foi encontrado ter (não) acontecido em 2014.)
- Outubro de 2017: O diretor de informações da FCC, David Bray, que afirmou que os ataques ocorreram tanto em 2017 quanto em 2014, deixa a FCC.
- Dezembro de 2017: A FCC vota ao longo das linhas partidárias para acabar com a neutralidade da rede.
- Junho de 2018: Um grupo de cães de guarda adquire 1.300 páginas de e-mails, que (embora muito fortemente redigidos) mostram que as alegações do DDoS eram essencialmente falsas e conhecidas por serem assim.
- Agosto de 2018: A FCC finalmente admite que nunca foi hackeada, e no dia seguinte seu próprio relatório interno sai mostrando que era realmente apenas um interesse esmagador de pessoas que queriam ser ouvidas. Membros do Congresso acusam o presidente Ajit Pai de "abandono do dever" ao perpetuar essa narrativa perigosamente incorreta.
Então tem sido muito tranquilo basicamente até hoje, quando o relatório solicitado em 2017 foi divulgado publicamente. Uma versão com informações confidenciais (como configurações exatas de software e outras informações técnicas) foi divulgada internamente em setembro, depois revisada para o lançamento de hoje.
O relatório final não é uma grande bomba, uma vez que grande parte dele foi telegrafado antes do tempo. É uma coleção de críticas a um sistema desatualizado com segurança inadequada e outras falhas que poderiam ter sido direcionadas a praticamente qualquer agência federal, entre as quais as práticas de cibersegurança são notoriamente pobres.
A investigação indica que a FCC, por exemplo, não implementou consistentemente controles de segurança e acesso, criptografou dados confidenciais, atualizou ou configurou corretamente seus servidores, detectou ou registrou eventos de cibersegurança, e assim por diante. Nem sempre foi um desastre (mesmo os departamentos de TI nem sempre seguem as melhores práticas), mas, obviamente, algumas dessas deficiências e cortes levaram a questões sérias como o ECFS sendo sobrecarregado.
Mais importante, das 136 recomendações feitas no relatório de setembro, 85 foram totalmente implementadas agora, 10 parcialmente, e o resto está no caminho certo para ser assim.
Isso não deve ser levado a dizer que a FCC esperou o tempo todo para atualizar seus comentários e outros sistemas. Na verdade, ele estava fazendo melhorias quase imediatamente após o evento em maio de 2017, mas se recusou a descrevê-las. Aqui estão algumas das melhorias listadas no relatório do GAO:
O representante Frank Pallone (D-NJ), que tem pressionado a FCC sobre esta questão desde o início, emitiu a seguinte declaração:
Solicitei este relatório porque ficou claro, após o fracasso do período de revogação da neutralidade da rede, que as práticas de segurança cibernética da FCC haviam falhado. Depois de mais de dois anos de investigação, o GAO concorda e encontrou uma preocupante falta de segurança que coloca os sistemas de informação da Comissão em risco… Até que a FCC implemente todas as recomendações restantes, seus sistemas permanecerão vulneráveis a falhas e uso indevido.