'Недостатки', которые сломали FCC комментируя систему в борьбе сетевого нейтралитета подробно ГАО

Сегодня знаменует собой завершение многолетней саги, которая началась, когда Джон Оливер сделал сегмент на Чистая нейтралитета, который был настолько популярен, что он принес FCC комментарий системы на колени. Два года спустя она, наконец, близка к решению всех вопросов, возбужденных в ходе расследования, проведенного Управлением общей отчетности.

Доклад охватывает многочисленные вопросы кибербезопасности и ИТ, некоторые из которых FCC рассмотрел быстро, некоторые не так быстро, а некоторые он все еще работает.

"Сегодняшний доклад ГАО ясно, что мы знали все вместе: система FCC для сбора общественного вклада имеет проблемы", комиссар Джессика Rosenworcel сказал TechCrunch . "Агентство должно полностью исправить этот беспорядок, потому что это путь FCC должен принимать вклад от общественности. Но, как показывает этот доклад, нам предстоит проделать реальную работу».

Вот основная хронология событий, которые кажутся так давно:

Тогда это довольно тихо в основном до сегодняшнего дня, когда доклад просил в 2017 году был публично выпущен. Версия с конфиденциальной информацией (например, точные конфигурации программного обеспечения и другая техническая информация) была внутренне распространена в сентябре, а затем пересмотрена для сегодняшнего выпуска.

Окончательный доклад не является большой бомбой, так как большая его часть была телеграфирована заранее. Это набор критических замечаний к устаревшей системе с неадекватной безопасностью и другими недостатками, которые могли быть направлены практически на любое федеральное агентство, среди которых практика кибербезопасности, как известно, бедна.

Расследование показывает, что FCC, например, не всегда осуществляла элементы управления безопасностью и доступом, шифровал конфиденциальные данные, обновляла или правильно настраивала свои серверы, обнаруживала или регистрировала события кибербезопасности и так далее. Это не всегда было катастрофой (даже хорошо управляемые ИТ-отделы не всегда следуют передовой практике), но, очевидно, некоторые из этих недостатков и сократить углы привели к серьезным вопросам, как ECFS время перегружены.

Что еще более важно, из 136 рекомендаций, вынесенных в сентябрьском докладе, 85 из них в настоящее время полностью выполнены, причем 10 из них находятся на пути к этому.

Это не должно означать, что FCC ждал все это время, чтобы обновить свои комментарии и другие системы. На самом деле он вносивал улучшения почти сразу после события в мае 2017 года, но отказался их описать. Вот некоторые из улучшений, перечисленных в докладе ГАО:

Представитель Фрэнк Паллоне (D-NJ), который упорно FCC по этому вопросу с самого начала, выступил со следующим заявлением:

Я запросил этот доклад, потому что было ясно, после чистого нейтралитета отменить комментарий период фиаско, что FCC в кибербезопасности практики не удалось. После более чем двух лет расследования, ГАО соглашается и обнаружила тревожное отсутствие безопасности, что ставит под угрозу информационные системы Комиссии … До тех пор, пока FCC не выполнит все оставшиеся рекомендации, ее системы будут оставаться уязвимыми для сбоев и злоупотреблений.

Вы можете прочитать окончательный отчет GAO здесь.