Hoy marca la conclusión de una saga de años que comenzó cuando John Oliver hizo un segmento sobre la neutralidad de la red que era tan popular que puso de rodillas el sistema de comentarios de la FCC. Dos años más tarde, finalmente se acerca a abordar todas las cuestiones que se plantean en una investigación de la Oficina General de Rendición de Cuentas.
El informe cubre numerosos problemas de ciberseguridad y TI, algunos de los cuales la FCC abordó rápidamente, algunos no tan rápido, y algunos en los que todavía está trabajando.
"El informe de la GAO de hoy deja claro lo que sabíamos todo el tiempo: el sistema de la FCC para recopilar la opinión pública tiene problemas", dijo la comisionada Jessica Rosenworcel a TechCrunch. "La agencia necesita arreglar completamente este lío porque esta es la forma en que se supone que la FCC debe tomar las aportaciones del público. Pero como demuestra este informe, tenemos un trabajo real que hacer".
Esta es la línea de tiempo básica de los acontecimientos, que parecen hace tanto tiempo:
- Mayo de 2017: El segmento de John Oliver se emite, y al día siguiente la FCC afirma que fue golpeado por ataques de denegación de servicio que derribaron su sistema de comentarios, ECFS. (De hecho, era simplemente el gran volumen de personas que querían compartir su opinión sobre el plan de la FCC para eliminar la neutralidad de la red.)
- Julio de 2017: A pesar de los llamamientos para obtener detalles, la FCC se niega a dar a conocer cualquier detalle sobre el ciberataque, a pesar de las demandas del Congreso, diciendo que la amenaza era "continua". (Sus investigaciones no habían determinado de hecho la intención maliciosa y su relato oficial estaba en duda internamente desde el principio.)
- Agosto de 2017: El Congreso pide una investigación independiente de las reclamaciones de la FCC y su sistema de comentarios. (Ese es el informe publicado hoy. También alrededor de este momento otro improbable "hack" se encontró que ha (no) sucedió en 2014.)
- Octubre 2017: El director de información de la FCC, David Bray, quien afirmó que los ataques tuvieron lugar tanto en 2017 como en 2014, abandona la FCC.
- Diciembre 2017: La FCC vota a lo largo de las líneas del partido para eliminar la neutralidad de la red.
- Junio de 2018: Un grupo de vigilancia adquiere 1.300 páginas de correos electrónicos, que (aunque muy redactados) muestran que las afirmaciones DDoS eran esencialmente falsas y se sabe que así es.
- Agosto de 2018: La FCC finalmente admite que nunca fue hackeado, y al día siguiente su propio informe interno sale mostrando que realmente era un interés abrumador de la gente que quería ser escuchada. Los miembros del Congreso acusan al presidente Ajit Pai de "abandono del deber" al perpetuar esta narrativa peligrosamente incorrecta.
Entonces es bastante tranquilo básicamente hasta hoy, cuando el informe solicitado en 2017 fue publicado públicamente. Una versión con información confidencial (como configuraciones exactas de software y otra información técnica) se distribuyó internamente en septiembre, luego se revisó para el lanzamiento de hoy.
El informe final no es una gran bomba, ya que gran parte de ella se ha telegrafiado con antelación. Es una colección de críticas de un sistema anticuado con seguridad inadecuada y otros fallos que podrían haber sido dirigidos a prácticamente cualquier agencia federal, entre las cuales las prácticas de ciberseguridad son notoriamente pobres.
La investigación indica que la FCC, por ejemplo, no implementó consistentemente controles de seguridad y acceso, cifró datos confidenciales, actualizó o configuró correctamente sus servidores, detectó o registró eventos de ciberseguridad, etc. No siempre fue un desastre (incluso los departamentos de TI bien dirigidos no siempre siguen las mejores prácticas), pero obviamente algunas de estas deficiencias y cortes en las esquinas llevaron a problemas serios como eCFS ser abrumado.
Más importante aún, de las 136 recomendaciones formuladas en el informe de septiembre, 85 se han aplicado plenamente ahora, 10 parcialmente, y el resto está en camino de serlo.
Esto no debe ser tomado en serio que la FCC ha esperado todo este tiempo para actualizar sus comentarios y otros sistemas. De hecho, estaba haciendo mejoras casi inmediatamente después del evento en mayo de 2017, pero se negó a describirlas. Estas son algunas de las mejoras enumeradas en el informe de la GAO:
El representante Frank Pallone (D-NJ), que ha dogged la FCC en este tema desde el principio, emitió la siguiente declaración:
Solicité este informe porque estaba claro, después de la debacle del período de derogación de la neutralidad de la red, que las prácticas de ciberseguridad de la FCC habían fracasado. Después de más de dos años de investigación, GAO está de acuerdo y encontró una preocupante falta de seguridad que pone en riesgo los sistemas de información de la Comisión… Hasta que la FCC implemente todas las recomendaciones restantes, sus sistemas seguirán siendo vulnerables a fallas y uso indebido.
