'Недостатки', которые сломали FCC комментируя систему в борьбе сетевого нейтралитета подробно ГАО
Сегодня знаменует собой завершение многолетней саги, которая началась, когда Джон Оливер сделал сегмент на Чистая нейтралитета, который был настолько популярен, что он принес FCC комментарий системы на колени. Два года спустя она, наконец, близка к решению всех вопросов, возбужденных в ходе расследования, проведенного Управлением общей отчетности.
Доклад охватывает многочисленные вопросы кибербезопасности и ИТ, некоторые из которых FCC рассмотрел быстро, некоторые не так быстро, а некоторые он все еще работает.
"Сегодняшний доклад ГАО ясно, что мы знали все вместе: fcc системы сбора общественного вклада имеет проблемы", комиссар Джессика Rosenworcel сказал TechCrunch. "Агентство должно полностью исправить этот беспорядок, потому что это путь FCC должен принимать вклад от общественности. Но, как показывает этот доклад, нам предстоит проделать реальную работу».
Вот основная хронология событий, которые кажутся так давно:
- Май 2017: сегмент Джона Оливера транслируется, и на следующий день FCC утверждает, что он пострадал от атак отказа в обслуживании, которые сняли свою систему комментариев, ECFS. (На самом деле это был просто огромный объем людей, которые хотели бы поделиться своим мнением о плане FCC, чтобы убить сетевой нейтралитет.)
- Июль 2017 г.: Несмотря на призывы к деталям, FCC отказывается обнародовать какие-либо подробности о кибератаке, несмотря на требования Конгресса, заявив, что угроза была "продолжается". (Его расследования на самом деле не определили злой умысел и его официальный счет был под сомнением внутренне с самого начала.)
- Август 2017 г.: Конгресс призывает к независимому расследованию претензий FCC и ее системы комментариев. (Это доклад, опубликованный сегодня. Также примерно в это же время было установлено, что в 2014 году произошло еще одно невероятное «взлом» .)
- Октябрь 2017: Главный информационный директор FCC Дэвид Брей, который утверждал, что нападения имели место как в 2017, так и в 2014 году, покидает FCC.
- Декабрь 2017: FCC голосует по партийной линии, чтобы убить сетевой нейтралитет.
- Июнь 2018 г.: Группа наблюдателей приобретает 1300 страниц электронных писем, которые (хотя и очень сильно отредактированы) показывают, что DDoS-претензии были по существу ложными и, как известно, так.
- Август 2018 г.: FCC, наконец, признает, что он никогда не был взломан, и на следующий день его собственный внутренний доклад выходит, показывая, что это действительно был просто подавляющий интерес со стороны людей, желающих быть услышанным. Члены Конгресса обвиняют председателя Аджита Пай в «неисполнении обязанностей» в увековечности этого опасно неправильного повествования.
Тогда это было довольно тихо в основном до сегодняшнего дня, когда доклад просил в 2017 году был публично выпущен. Версия с конфиденциальной информацией (например, точные конфигурации программного обеспечения и другая техническая информация) была внутренне распространена в сентябре, а затем пересмотрена для сегодняшнего выпуска.
Окончательный доклад не является большой бомбой, так как большая его часть была телеграфирована заранее. Это набор критических замечаний к устаревшей системе с неадекватной безопасностью и другими недостатками, которые могли быть направлены практически на любое федеральное агентство, среди которых практика кибербезопасности, как известно, бедна.
Расследование показывает, что FCC, например, не всегда осуществляла элементы управления безопасностью и доступом, шифровал конфиденциальные данные, обновляла или правильно настраивала свои серверы, обнаруживала или регистрировала события кибербезопасности и так далее. Это не всегда было катастрофой (даже хорошо управляемые ИТ-отделы не всегда следуют передовой практике), но, очевидно, некоторые из этих недостатков и сократить углы привели к серьезным вопросам, как ECFS время перегружены.
Что еще более важно, из 136 рекомендаций, вынесенных в сентябрьском докладе, 85 из них в настоящее время полностью выполнены, причем 10 из них находятся на пути к этому.
Это не должно означать, что FCC ждал все это время, чтобы обновить свои комментарии и другие системы. На самом деле он вносивал улучшения почти сразу после события в мае 2017 года, но отказался их описать. Вот некоторые из улучшений, перечисленных в докладе ГАО:
Представитель Фрэнк Паллоне (D-NJ), который упорно FCC по этому вопросу с самого начала, выступил со следующим заявлением:
Я запросил этот доклад, потому что было ясно, после чистого нейтралитета отменить комментарий период фиаско, что FCC в кибербезопасности практики не удалось. После более чем двух лет расследования, ГАО соглашается и обнаружила тревожное отсутствие безопасности, что ставит под угрозу информационные системы Комиссии … До тех пор, пока FCC не выполнит все оставшиеся рекомендации, ее системы будут оставаться уязвимыми для сбоев и злоупотреблений.