Сегодня знаменует собой завершение многолетней саги, которая началась, когда Джон Оливер сделал сегмент на Чистая нейтралитета, который был настолько популярен, что он принес FCC комментарий системы на колени. Два года спустя она, наконец, близка к решению всех вопросов, возбужденных в ходе расследования, проведенного Управлением общей отчетности.

Доклад охватывает многочисленные вопросы кибербезопасности и ИТ, некоторые из которых FCC рассмотрел быстро, некоторые не так быстро, а некоторые он все еще работает.

"Сегодняшний доклад ГАО ясно, что мы знали все вместе: система FCC для сбора общественного вклада имеет проблемы", комиссар Джессика Rosenworcel сказал TechCrunch . "Агентство должно полностью исправить этот беспорядок, потому что это путь FCC должен принимать вклад от общественности. Но, как показывает этот доклад, нам предстоит проделать реальную работу».

Вот основная хронология событий, которые кажутся так давно:

• Май 2017: сегмент Джона Оливера транслируется, и на следующий день FCC утверждает, что он пострадал от атак отказа в обслуживании, которые сняли свою систему комментариев, ECFS. (На самом деле это был просто огромный объем людей, которые хотели бы поделиться своим мнением о плане FCC, чтобы убить сетевой нейтралитет.)
• Июль 2017 г.: Несмотря на призывы к деталям, FCC отказывается обнародовать какие-либо подробности о кибератаке, несмотря на требования Конгресса, заявив, что угроза была "продолжается". (Его расследования на самом деле не определили злой умысел и его официальный счет был под сомнением внутренне с самого начала.)
• Август 2017 г.: Конгресс призывает к независимому расследованию претензий FCC и ее системы комментариев. (Это доклад, опубликованный сегодня. Также примерно в это же время было установлено, что в 2014 году произошло еще одно невероятное «взлом» .)
• Октябрь 2017: Главный информационный директор FCC Дэвид Брей, который утверждал, что нападения имели место как в 2017, так и в 2014 году, покидает FCC.
• Декабрь 2017: FCC голосует по партийной линии, чтобы убить сетевой нейтралитет.
• Июнь 2018 г.: Группа наблюдателей приобретает 1300 страниц электронных писем, которые (хотя и очень сильно отредактированы) показывают, что DDoS-претензии были по существу ложными и, как известно, так.
• Август 2018 г.: FCC, наконец, признает, что он никогда не был взломан, и на следующий день его собственный внутренний доклад выходит, показывая, что это действительно был просто подавляющий интерес со стороны людей, желающих быть услышанным. Члены Конгресса обвиняют председателя Аджита Пай в «неисполнении обязанностей» в увековечности этого опасно неправильного повествования.

Тогда это довольно тихо в основном до сегодняшнего дня, когда доклад просил в 2017 году был публично выпущен. Версия с конфиденциальной информацией (например, точные конфигурации программного обеспечения и другая техническая информация) была внутренне распространена в сентябре, а затем пересмотрена для сегодняшнего выпуска.

Окончательный доклад не является большой бомбой, так как большая его часть была телеграфирована заранее. Это набор критических замечаний к устаревшей системе с неадекватной безопасностью и другими недостатками, которые могли быть направлены практически на любое федеральное агентство, среди которых практика кибербезопасности, как известно, бедна.

Расследование показывает, что FCC, например, не всегда осуществляла элементы управления безопасностью и доступом, шифровал конфиденциальные данные, обновляла или правильно настраивала свои серверы, обнаруживала или регистрировала события кибербезопасности и так далее. Это не всегда было катастрофой (даже хорошо управляемые ИТ-отделы не всегда следуют передовой практике), но, очевидно, некоторые из этих недостатков и сократить углы привели к серьезным вопросам, как ECFS время перегружены.

Что еще более важно, из 136 рекомендаций, вынесенных в сентябрьском докладе, 85 из них в настоящее время полностью выполнены, причем 10 из них находятся на пути к этому.

Это не должно означать, что FCC ждал все это время, чтобы обновить свои комментарии и другие системы. На самом деле он вносивал улучшения почти сразу после события в мае 2017 года, но отказался их описать. Вот некоторые из улучшений, перечисленных в докладе ГАО:

Представитель Фрэнк Паллоне (D-NJ), который упорно FCC по этому вопросу с самого начала, выступил со следующим заявлением:

Я запросил этот доклад, потому что было ясно, после чистого нейтралитета отменить комментарий период фиаско, что FCC в кибербезопасности практики не удалось. После более чем двух лет расследования, ГАО соглашается и обнаружила тревожное отсутствие безопасности, что ставит под угрозу информационные системы Комиссии … До тех пор, пока FCC не выполнит все оставшиеся рекомендации, ее системы будут оставаться уязвимыми для сбоев и злоупотреблений.

Вы можете прочитать окончательный отчет GAO здесь.

Matt Ocko, co-founder of venture firm Data Collective (DCVC), was among a small group of VCs viewed as alarmists when they began tweeting about the coronavirus’s imminent appearance in the U.S. back in January.

In retrospect, those individuals were prescient, so we spoke with Ocko last week about why he was so certain the U.S. was about to get walloped by COVID-19, and asked how some of the startups in DCVC’s portfolio — which has long had a strong biotech focus — are trying to get us back to a state of normalcy.

This conversation has been edited for length.

TechCrunch: You were tweeting about COVID-19 back in January; I almost canceled a flight out of San Francisco because of your [expressed concern about a flight bound for SFO from Wuhan, China]. What did you see that the rest of us missed?

Matt Ocko: My family has been working with the Chinese government at a reasonably high level since the late 1970s, starting with my dad, and I kind of grew up in that environment. And at a relatively young age, as a professional [in the 1990s] started pro bono helping my dad, who’s a Chinese legal expert, on things like constructing the laws around China’s Nasdaq equivalent, its stock markets, the joint dollar-renminbi investment legislation, advice on technology development and venture capital development.

I’m not an anti-China hawk by any means. But I do have an understanding of some of the idiosyncrasies of Chinese culture reflected in its government, the same way every country has its idiosyncrasies.

[In China’s case], it’s a focus on face and reputation and extreme sensitivity to negative perception or shame or humiliation at every level of government and culture. And so there’s [an] unfortunate trend — and not a universal one — for people to manage upwards, especially in the government, and tell their higher-ups what they want to hear to avoid shame, to avoid the loss of reputation and to kick the can down the road or hope that circumstances on the ground change favorably in the face of denial or equivocation.

Сегодня знаменует собой завершение многолетней саги, которая началась, когда Джон Оливер сделал сегмент на Чистая нейтралитета, который был настолько популярен, что он принес FCC комментарий системы на колени. Два года спустя она, наконец, близка к решению всех вопросов, возбужденных в ходе расследования, проведенного Управлением общей отчетности.

Доклад охватывает многочисленные вопросы кибербезопасности и ИТ, некоторые из которых FCC рассмотрел быстро, некоторые не так быстро, а некоторые он все еще работает.

"Сегодняшний доклад ГАО ясно, что мы знали все вместе: система FCC для сбора общественного вклада имеет проблемы", комиссар Джессика Rosenworcel сказал TechCrunch . "Агентство должно полностью исправить этот беспорядок, потому что это путь FCC должен принимать вклад от общественности. Но, как показывает этот доклад, нам предстоит проделать реальную работу».

Вот основная хронология событий, которые кажутся так давно:

• Май 2017: сегмент Джона Оливера транслируется, и на следующий день FCC утверждает, что он пострадал от атак отказа в обслуживании, которые сняли свою систему комментариев, ECFS. (На самом деле это был просто огромный объем людей, которые хотели бы поделиться своим мнением о плане FCC, чтобы убить сетевой нейтралитет.)
• Июль 2017 г.: Несмотря на призывы к деталям, FCC отказывается обнародовать какие-либо подробности о кибератаке, несмотря на требования Конгресса, заявив, что угроза была "продолжается". (Его расследования на самом деле не определили злой умысел и его официальный счет был под сомнением внутренне с самого начала.)
• Август 2017 г.: Конгресс призывает к независимому расследованию претензий FCC и ее системы комментариев. (Это доклад, опубликованный сегодня. Также примерно в это же время было установлено, что в 2014 году произошло еще одно невероятное «взлом» .)
• Октябрь 2017: Главный информационный директор FCC Дэвид Брей, который утверждал, что нападения имели место как в 2017, так и в 2014 году, покидает FCC.
• Декабрь 2017: FCC голосует по партийной линии, чтобы убить сетевой нейтралитет.
• Июнь 2018 г.: Группа наблюдателей приобретает 1300 страниц электронных писем, которые (хотя и очень сильно отредактированы) показывают, что DDoS-претензии были по существу ложными и, как известно, так.
• Август 2018 г.: FCC, наконец, признает, что он никогда не был взломан, и на следующий день его собственный внутренний доклад выходит, показывая, что это действительно был просто подавляющий интерес со стороны людей, желающих быть услышанным. Члены Конгресса обвиняют председателя Аджита Пай в «неисполнении обязанностей» в увековечности этого опасно неправильного повествования.

Тогда это довольно тихо в основном до сегодняшнего дня, когда доклад просил в 2017 году был публично выпущен. Версия с конфиденциальной информацией (например, точные конфигурации программного обеспечения и другая техническая информация) была внутренне распространена в сентябре, а затем пересмотрена для сегодняшнего выпуска.

Окончательный доклад не является большой бомбой, так как большая его часть была телеграфирована заранее. Это набор критических замечаний к устаревшей системе с неадекватной безопасностью и другими недостатками, которые могли быть направлены практически на любое федеральное агентство, среди которых практика кибербезопасности, как известно, бедна.

Расследование показывает, что FCC, например, не всегда осуществляла элементы управления безопасностью и доступом, шифровал конфиденциальные данные, обновляла или правильно настраивала свои серверы, обнаруживала или регистрировала события кибербезопасности и так далее. Это не всегда было катастрофой (даже хорошо управляемые ИТ-отделы не всегда следуют передовой практике), но, очевидно, некоторые из этих недостатков и сократить углы привели к серьезным вопросам, как ECFS время перегружены.

Что еще более важно, из 136 рекомендаций, вынесенных в сентябрьском докладе, 85 из них в настоящее время полностью выполнены, причем 10 из них находятся на пути к этому.

Это не должно означать, что FCC ждал все это время, чтобы обновить свои комментарии и другие системы. На самом деле он вносивал улучшения почти сразу после события в мае 2017 года, но отказался их описать. Вот некоторые из улучшений, перечисленных в докладе ГАО:

Представитель Фрэнк Паллоне (D-NJ), который упорно FCC по этому вопросу с самого начала, выступил со следующим заявлением:

Я запросил этот доклад, потому что было ясно, после чистого нейтралитета отменить комментарий период фиаско, что FCC в кибербезопасности практики не удалось. После более чем двух лет расследования, ГАО соглашается и обнаружила тревожное отсутствие безопасности, что ставит под угрозу информационные системы Комиссии … До тех пор, пока FCC не выполнит все оставшиеся рекомендации, ее системы будут оставаться уязвимыми для сбоев и злоупотреблений.

Вы можете прочитать окончательный отчет GAO здесь.