Mest følsomme data på offentlige bærbare computere Ikke-krypteret

Kun 30 procent af følsomme oplysninger, der er lagret på bærbare pc'er og mobile enheder fra USA, herunder de amerikanske personers personlige oplysninger, blev krypteret for et år siden, på trods af en række dataindbrud hos offentlige myndigheder i de seneste år, ifølge en revisors rapport.

Rapporten fra US Government Accountability Office fandt ud af, at 70 procent af følsomme oplysninger om bærbare computere og mobile enheder hos 24 store amerikanske agenturer blev ukrypteret fra september sidste år. GAO-rapporten definerede flere typer af data som følsomme, herunder personlige lægelige journaler, andre personlige oplysninger, retshåndhævelsesdata og journaler, der er afgørende for hjemlandssikkerheden.

"Mens alle agenturer har indledt bestræbelserne på at implementere krypteringsteknologier, havde ingen dokumenteret omfattende planer at styre kryptering implementeringsaktiviteter ", siger rapporten. "Som følge heraf kan føderal information forblive i øget risiko for uautoriseret offentliggørelse, tab og modifikation."

Rapporten følger en række sikkerhedshændelser af amerikanske regeringsorganer i de seneste år. I marts 2007 rapporterede US Internal Revenue Service, at 490 laptops manglede eller blev stjålet om en treårig periode. Det var sandsynligt, at mange af disse bærbare computere indeholdt personlige oplysninger om amerikanske skatteydere, ifølge en IRS-revisors rapport.

I september 2006 rapporterede det amerikanske handelsministerium, at 1.137 bærbare pc'er blev tabt eller stjålet siden 2001, hvoraf 249 indeholder nogle personlige data. Andre amerikanske agenturer rapporterede også manglende eller stjålne bærbare computere.

I maj 2006 rapporterede Department of Veterans Affairs, at en bærbar computer og harddisk indeholdende personlige oplysninger om 26.5 millioner militære veteraner og deres ægtefæller blev stjålet fra en ansattes hjem bureau. De retshåndhævende myndigheder genvandt hardwaren, og agenturet begyndte at kryptere sine bærbare computere senere samme år.

GAO-rapporten bemærker, at flere love, herunder Federal Information Security Management Act (FISMA) i 2002, kræver, at agenturer beskytter deres data. Hertil kommer, at Hvidhusets kontor for ledelse og budget (OMB) først anbefalede i 2006, og derefter krævet i maj 2007, at agenturer krypterer alle følsomme data på mobile computere.

Men OMB-mandatet og GAO-rapporten savner stort set en større behov for informationssikkerhed i den amerikanske regering, sagde Phil Dunkelberger, CEO for PGP, en leverandør af kryptering og andre sikkerhedsprodukter, i et interview. Den amerikanske regering skal fokusere på en bredere tilgang til cybersikkerhed, herunder bedre beskyttelse af data om offentlige netværk, sagde han.

"Hvornår vil vi blive seriøse om at beskytte data - rollebaseret og politikbaseret kryptering, ikke kun enhedskryptering? " han sagde. "Indtil vi er seriøse om at tage en strategisk visning af data … vil vi ikke få stor indflydelse."

Selvom bærbare computere er krypterede, står regeringen stadig over for sikkerhedsproblemer med flytbare medier som tommelfingerdrev, han tilføjet. Og mange amerikanske agenturer står over for udfordringer med at finde tid til at kryptere tusindvis af bærbare computere og med at styre krypteringsnøgler, når enhederne er krypterede, sagde han.

Mange offentlige enheder kan være for gamle til at bruge den nyeste krypteringsteknologi, og regeringsarbejdere kan bruge ikke-standardiserede enheder til adgang til følsomme oplysninger, tilføjede Dunkelberger. Med alle disse problemer, sagde Dunkelberger, at han ikke er overrasket over GAO-rapporten.

Den amerikanske regering har "meget hensigtsmæssige mandater til at sikre data, og alligevel er den måde, hvorpå de har gået over det, noget af en fejltagelse" Dunkelberger tilføjet. "Ideen om, at du kan sende en cirkel fra OMB og pludselig, alt bliver magisk fast. Det er en helt forkert forventning."

To demokratiske medlemmer af Det Amerikanske Repræsentanternes Hus for Homeland Security Committee sagde, at de var skuffede over amerikanske bureaukryptering indsats. Udvalget meddelte GAO-rapporten sent mandag.

"Kryptering er ikke en mulighed, det er et mandat," sagde repræsentant Bennie Thompson, en mississippi-demokrat og formand for udvalget, i en erklæring. "Desværre er jeg ikke overrasket over, at den føderale regering på trods af mandater fra OMB kun er 30 procent af vejen der. At foretage de rigtige investeringer i cybersikkerhed i dag vil holde os i at betale dyrt i det lange løb."

Føderale agenturer "lag langt bag den private sektor" i beskyttelse og kryptering af data, repræsentant Zoe Lofgren, en California-demokrat, tilføjede i en erklæring. "Jeg er bekymret for, at vores regering ikke bevæger sig hurtigt nok i sine bestræbelser på at sikre sine systemer og procedurer," tilføjede hun.