กรมกิจการทหารผ่านศึกกำลังวางระบบและข้อมูลของทหารผ่านศึกหลายสิบล้านคนให้ตกอยู่ในอันตรายเนื่องจากขาดการควบคุมของสถาบันเกี่ยวกับกระบวนการประเมินและอนุมัติความปลอดภัยทางไซเบอร์ ตามคำบอกเล่าของอดีตเจ้าหน้าที่รักษาความปลอดภัยคอมพิวเตอร์ระดับสูงของเวอร์จิเนียและอีกหลายคนในปัจจุบันและปัจจุบัน อดีตเจ้าหน้าที่หน่วยงานJerry Davis อดีตรองผู้ช่วยเลขาธิการด้านความปลอดภัยข้อมูล (DAS IS)ในสำนักงานข้อมูลและเทคโนโลยีของ VA
อ้างในเอกสารที่ได้รับจาก Federal News Radio ว่าเขาถูกบังคับ
ให้ประทับตราใบรับรองความปลอดภัย 250 รายการสำหรับระบบไอทีของหน่วยงานในจดหมายถึงสภาคองเกรส เดวิสกล่าวว่าเขาลังเลที่จะลงนามในเอกสารเพราะเขารู้สึกว่าระบบต่างๆ ไม่ได้ผ่านกระบวนการกำกับดูแลที่เหมาะสมJerry Davis อดีตรองผู้ช่วยเลขานุการด้านความปลอดภัยข้อมูลในสำนักงานสารสนเทศและเทคโนโลยีของ VA
เขากล่าวว่าเจ้าหน้าที่ของ VA ต้องการให้เขาลงนามในเอกสารความปลอดภัยทั้งหมดมากกว่า 500 ฉบับเป็นเงื่อนไขในการปลดเขาจาก VA เพื่อไปเป็น CIO ของ NASA Ames ใน Moffett Field, Calif
“ฉันขอยืนยันว่าในฐานะ DAS IS มีอันตรายและความเสี่ยงที่ชัดเจนและมีอยู่ในปัจจุบันในการเปิดเผยและการประนีประนอมของข้อมูลที่ละเอียดอ่อนสำหรับทหารผ่านศึกนับแสนถึงล้านคน ทั้งหมดนี้อำนวยความสะดวกโดยการบังคับ การข่มขู่ และกระบวนการที่ไม่เหมาะสมที่ดำเนินการเพื่อประเมินความปลอดภัยของระบบ” เดวิสเขียนเมื่อวันที่ 28 มกราคมถึงผู้มีอำนาจอนุมัติที่กำหนดของ VA สำหรับระบบไอที ซึ่งอาจเป็นใครก็ได้ตั้งแต่หัวหน้าเจ้าหน้าที่ข้อมูลของหน่วยงานไปจนถึงผู้จัดการโปรแกรมที่รู้จักกันในชื่อ เจ้าของระบบอย่างเป็นทางการ
Insight by Rancher Government Solutions: รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
เอกสารที่เดวิสกล่าวว่าหน่วยงานต้องการให้เขาลงนามเรียกว่า
การรับรองและการอนุญาต (A&A) ซึ่งก่อนหน้านี้เรียกว่าการรับรองและการรับรอง (C&A) ทุกหน่วยงานต้องแสดงให้เห็นว่าระบบไอทีของตนเป็นไปตามนโยบายและข้อบังคับทางไซเบอร์ผ่าน A&As เหล่านี้ ซึ่งกำหนดให้เป็นส่วนหนึ่งของกฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง (FISMA) แต่ละระบบต้องการผู้มีอำนาจในการดำเนินการ (ATO) ก่อนที่จะสามารถออนไลน์ได้ และหน่วยงานต่างๆ จะต้องต่ออายุ ATO ทุกครั้งที่มีการเปลี่ยนแปลงครั้งใหญ่
รีบเร่งให้ ATO ลงนามเจ้าหน้าที่ VA ปัจจุบันและอดีตหลายคนกล่าวว่าผู้บริหารหน่วยงานยังคง “ครอบคลุม” ลงนามในเอกสารความปลอดภัยเหล่านี้ รวมถึงไม่กี่โหลสุดท้ายเพื่อเตรียมพร้อมสำหรับการรับฟังความคิดเห็นเกี่ยวกับความปลอดภัยด้านไอทีในวันอังคารต่อหน้าคณะกรรมการกิจการทหารผ่านศึกของสภา
โฆษกของ VA โต้แย้งการอ้างว่าระบบและข้อมูลของหน่วยงานมีความเสี่ยง
แต่แหล่งข่าวหลายแห่ง ซึ่งทั้งหมดขอไม่เปิดเผยชื่อเพราะกลัวว่าจะถูกลงโทษ และเนื่องจากลักษณะที่ละเอียดอ่อนของปัญหา ยืนยันข้อกล่าวหาของเดวิส และกล่าวว่ากระบวนการดังกล่าวไม่ดีขึ้นเลยนับตั้งแต่เดวิสจากไปเมื่อต้นเดือนก.พ.
“สำหรับฉันแล้ว ดูเหมือนว่าทั้งหมดที่พวกเขาทำคือพิมพ์ซ้ำจดหมาย [ผู้มีอำนาจดำเนินการ] โดยไม่ผ่านการตรวจสอบที่เหมาะสม” แหล่งข่าวจาก VA คนหนึ่งกล่าว “มีเวลาไม่เพียงพอที่จะทำแต่ละ ATO ฉันคิดว่าพวกเขาทำทีละชุด ฉันเคยเห็นโฟลเดอร์ไหลเข้ามาและฉันไม่เชื่อว่ามันจะเหลืออีกมาก พวกเขายังคงลงนามในวันนี้ ฉันรู้ว่า [ฝ่ายบริหาร] กำลังพูดอะไร พวกเขามีขั้นตอนก่อนที่จะลงนาม ATO ซึ่งระดับท้องถิ่นทำการตรวจสอบและจากนั้นเจ้าหน้าที่รักษาความปลอดภัยลงนาม ฉันคิดว่าเป็นเพียง CYA ที่จะบอกว่าพวกเขาลงนาม ATO เมื่อกระบวนการเสร็จสิ้นเท่านั้น พวกเขาทำตามขั้นตอนหรือไม่? มันยากที่จะพูด. แต่ดูเหมือนว่าจะไม่มีอะไรเปลี่ยนแปลงเลยตั้งแต่เจอรี่จากไป”
ในความเป็นจริง อีเมลภายในที่ได้รับจาก Federal News Radio แสดงการแย่งชิงเพื่อลงนามในใบรับรองความปลอดภัย 16 ฉบับสุดท้ายก่อนการพิจารณาคดีของสภา
“คุณได้รับการร้องขอให้ดำเนินการทันทีเพื่อแก้ไขความคลาดเคลื่อนของ ATO และสร้างแพ็คเกจที่สมบูรณ์ภายในวันที่ 31 พฤษภาคม เนื่องจากทุกระบบต้องมี ATO ปัจจุบันก่อนการพิจารณาของรัฐสภาของนาย [Stephen] Warren ในวันที่ 4 มิถุนายน” Gary Stevens ผู้อำนวยการเขียน ของสำนักงานความปลอดภัยทางไซเบอร์ของ VA ในอีเมลถึงเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของหน่วยงานที่รับ
