'Deficiencias' que rompieron el sistema de comentarios de la FCC en la lucha por la neutralidad de la red detallada por GAO

Hoy marca la conclusión de una saga de años que comenzó cuando John Oliver hizo un segmento sobre la neutralidad de la red que era tan popular que puso de rodillas el sistema de comentarios de la FCC. Dos años más tarde, finalmente se acerca a abordar todas las cuestiones que se plantean en una investigación de la Oficina General de Rendición de Cuentas.

El informe cubre numerosos problemas de ciberseguridad y TI, algunos de los cuales la FCC abordó rápidamente, algunos no tan rápido, y algunos en los que todavía está trabajando.

"El informe de la GAO de hoy deja claro lo que sabíamos todo el tiempo: el sistema de la FCC para recopilar la opinión pública tiene problemas", dijo la comisionada Jessica Rosenworcel a TechCrunch. "La agencia necesita arreglar completamente este lío porque esta es la forma en que se supone que la FCC debe tomar las aportaciones del público. Pero como demuestra este informe, tenemos un trabajo real que hacer".

Esta es la línea de tiempo básica de los acontecimientos, que parecen hace tanto tiempo:

Entonces es bastante tranquilo básicamente hasta hoy, cuando el informe solicitado en 2017 fue publicado públicamente. Una versión con información confidencial (como configuraciones exactas de software y otra información técnica) se distribuyó internamente en septiembre, luego se revisó para el lanzamiento de hoy.

El informe final no es una gran bomba, ya que gran parte de ella se ha telegrafiado con antelación. Es una colección de críticas de un sistema anticuado con seguridad inadecuada y otros fallos que podrían haber sido dirigidos a prácticamente cualquier agencia federal, entre las cuales las prácticas de ciberseguridad son notoriamente pobres.

La investigación indica que la FCC, por ejemplo, no implementó consistentemente controles de seguridad y acceso, cifró datos confidenciales, actualizó o configuró correctamente sus servidores, detectó o registró eventos de ciberseguridad, etc. No siempre fue un desastre (incluso los departamentos de TI bien dirigidos no siempre siguen las mejores prácticas), pero obviamente algunas de estas deficiencias y cortes en las esquinas llevaron a problemas serios como eCFS ser abrumado.

Más importante aún, de las 136 recomendaciones formuladas en el informe de septiembre, 85 se han aplicado plenamente ahora, 10 parcialmente, y el resto está en camino de serlo.

Esto no debe ser tomado en serio que la FCC ha esperado todo este tiempo para actualizar sus comentarios y otros sistemas. De hecho, estaba haciendo mejoras casi inmediatamente después del evento en mayo de 2017, pero se negó a describirlas. Estas son algunas de las mejoras enumeradas en el informe de la GAO:

El representante Frank Pallone (D-NJ), que ha dogged la FCC en este tema desde el principio, emitió la siguiente declaración:

Solicité este informe porque estaba claro, después de la debacle del período de derogación de la neutralidad de la red, que las prácticas de ciberseguridad de la FCC habían fracasado. Después de más de dos años de investigación, GAO está de acuerdo y encontró una preocupante falta de seguridad que pone en riesgo los sistemas de información de la Comisión… Hasta que la FCC implemente todas las recomendaciones restantes, sus sistemas seguirán siendo vulnerables a fallas y uso indebido.

Puede leer el informe final de la GAO aquí.