GAO: Die Cybersecurity des Los Alamos National Lab fehlt

Cybersicherheit Bemühungen, ein klassifiziertes Computernetzwerk eines führenden US-Atomlabors zu schützen, bleiben auch nach einer Reihe von Sicherheitslücken, nach einem neuen Bericht der US-Regierung Rechenschaftspflicht Büro.

Das Los Alamos National Laboratory, die in den letzten Jahren mehrere Sicherheitsverletzungen erlitten hat, weiterhin "erhebliche Schwächen … beim Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gespeichert auf und über sein klassifiziertes Computernetzwerk übertragen", sagte das GAO in einem Bericht veröffentlicht Freitag.

Das Labor verfügt über Sicherheitslücken in mehreren "kritischen" Bereichen, darunter Identifizierung und Authentifizierung von Benutzern, Autorisierung von Benutzerzugriff, Verschlüsseln von Verschlusssachen und die Wartung sicherer Softwarekonfigurationen, sagte der GAO-Bericht.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Ein Hauptgrund für die Schwachstellen der Informationssicherheit war, dass das Labor keine Informationen vollständig implementiert hatte Sicherheitsprogramm, um sicherzustellen, dass die Kontrollen effektiv eingerichtet und aufrechterhalten wurden ", heißt es in dem Bericht.

Das Labor hat keine umfassenden Risikobewertungen durchgeführt, um eine unautorisierte Nutzung sicherzustellen, hat das Klassifizierungsniveau der in seinem geheimen Netzwerk gespeicherten Informationen nicht markiert und hat Unzureichendes Training für Benutzer mit Sicherheitsaufgaben, sagte der GAO-Bericht.

Im Januar gab es Berichte über den Diebstahl von drei Computern von einem Hausangestellten in Santa Fe, New Mexico. Spätere Berichte besagen, dass 67 Computer im Labor fehlten.

Im Juli 2007 veranlasste das US-Energieministerium, das Labor wegen eines Verstoßes im Oktober 2006 zu entlarven, der klassifizierte Daten enthüllte. Ein Vertragsarbeiter heruntergeladen und entfernt Hunderte von Seiten von Daten aus dem Labor mit USB-Sticks.

Auch Mitte des Jahres 2007 kritisierten US-Gesetzgeber das Labor nach Berichten, dass mehrere Beamte dort ungeschützte E-Mail-Netzwerke verwendet haben, um hoch zu teilen klassifizierte Informationen.

Es gab andere Sicherheitsprobleme im Labor, einschließlich der Fälle in den Jahren 2003 und 2004, als das Labor keine klassifizierten, herausnehmbaren elektronischen Medien wie CDs und Wechselfestplatten berücksichtigen konnte.

Ein Laborsprecher nicht Schreiben Sie sofort eine E-Mail, die den GAO-Bericht kommentiert. Die nationale Nuclear Security Administration (NNSA) des DOE sagte zwar, dass sie dem Bericht generell zustimmte, sagte aber, das Labor habe Fortschritte bei seinen Cybersicherheits-Bemühungen gemacht.

Viele der Mängel seien angegangen worden, sagte Michael Kane, Associate Administrator bei der NNSA, in einem Brief an das GAO. Als Antwort auf eine 2007 erteilte DOE-Compliance-Verordnung wurden oder werden "eine Reihe von wichtigen technischen Fragen und Bedenken hinsichtlich der Umsetzung von Richtlinien behandelt", sagte Kane.

Das DOE beaufsichtigt das Labor, eine multidisziplinäre Forschungseinrichtung, die an strategischer Forschung arbeitet Wissenschaft im Auftrag der nationalen Sicherheit der USA. Das Labor wird gemeinsam von mehreren Gruppen betrieben, einschließlich NNSA und der University of California.