IT-sikkerhet i USA like elendig som i fjor

En rapport fra USAs riksrevisjon viser at regjeringens IT-sikkerhet er like elendig stilt i år som i fjor.

USAs riksrevisjon, General Accounting Office, offentliggjorde i går rapporten Computer Security: Progress Made, but Critical Federal Operations and Assets Remain at Risk. Rapporten ligger til grunn for kongressens behandling av IT-sikkerhet i det offentlige. En underkomite har brukt rapporten til å dele ut karakterer til 24 departementer og direktorater, og konkluderer med at 15 får "ikke bestått". De verste er utenriksdepartementet, justisdepartementet og transportdepartementet. Den høye strykprosenten gjør at regjeringens samlekarakter også blir "ikke bestått". Seks institusjoner kommer litt bedre ut enn i fjor, men seks andre får dårligere karakter.

En gjennomgang av den 33 sider lange rapporten tyder på at tittelen er for snill, og at USAs myndigheter ikke har gjort noe framgang innen IT-sikkerhet det siste året, trass i tiltakene etter terrorangrepene 11. september i fjor. Kritiske virksomheter og informasjon er stadig like sårbare som for ett år siden, og statistikk fra Computer Emergency Response Team (CERT) viser at tallet på innbrudd fortsetter å øke eksponentielt.

Bevilgningene til forskning innen IT-sikkerhet er tredoblet, og myndighetene er i ferd med å utarbeide nye retningslinjer, ikke bare for offentlig virksomhet, men også for næringslivet og forbrukere.

I trygdedepartementet ("Social Security"), som oppnådde den beste karakteren av samtlige, det vil si "B-minus" (tilsvarende 5 minus i en skala der 6 er best), er det gjennomført rutiner der ansatte er opplært til å rapportere virus og andre problemer straks de oppdager dem. Alle datamaskiner skannes en gang i måneden, og brukere tvinges til hyppige endringer av passord.

I det dårligst stilte transportdepartementet har stillingen som IT-sjef stått ledig siden januar 2001. Her er interne systemer tilgjengelige utenfra gjennom private bedrifter som driver forretninger med departementet, og deres nettverk er ikke underlagt spesielle sikkerhetskrav. Det er med andre ord nærmest fritt fram for misbruk.

Riksrevisjonen mener vernet av informasjon om føderale utbetalinger, skattebetalere og individers helseopplysninger er svært mangelfullt.

En representant for CERT sier til Associated Press at programvarehus fortsetter å levere sårbare produkter. Organisasjonen mener en bedring av IT-sikkerheten er avhengig av at kundene krever sikre applikasjoner, og av at programvareleverandørene gjøres juridisk ansvarlig for skader og tap når sikkerhetshull benyttes i datainnbrudd.


Si din mening


Mener du at programvareleverandører skal gjøres juridisk ansvarlig for skader ved datainnbrudd begått gjennom sårbarheter i deres produkter?

Ja
Nei
Vet ikke

Trykk her for å se resultatet så langt

Til toppen