การดำเนินการยังคงต้องใช้เพื่อให้แน่ใจว่าการควบคุมการเข้าถึงทางกายภาพแบบทำงานร่วมกันของอาคารเฟด

ในระหว่างการตรวจสอบประสิทธิภาพตั้งแต่เดือนตุลาคม 2560 ถึงธันวาคม 2561 สำนักงานความรับผิดชอบของรัฐบาล (GAO) แขนสืบสวนของสภาคองเกรสพบสำนักงานการจัดการและงบประมาณ (OMB) การกำกับดูแลของความพยายามโดยหน่วยงานรัฐบาลกลางในการจัดหาและดำเนินการตามความปลอดภัย และ“ หากไม่มีข้อมูลดังกล่าว” GAO บอกกับคณะกรรมการสภาคณะอนุกรรมการความมั่นคงแห่งมาตุภูมิเรื่องการกำกับดูแลและประสิทธิภาพการจัดการ“ OMB ไม่สามารถตอบสนองความรับผิดชอบของตนเพื่อให้แน่ใจว่าหน่วยงานปฏิบัติตามข้อกำหนดของ PACS หรือติดตามความคืบหน้าในการดำเนินการตามข้อกำหนด PACS ของรัฐบาลกลางและบรรลุวิสัยทัศน์ของระบบที่ปลอดภัย

PACs เป็นระบบที่ออกแบบมาเพื่อจัดการการเข้าถึงพื้นที่ควบคุมที่ปลอดภัยภายในอาคารของรัฐบาลกลางและรวมถึงบัตรประจำตัวผู้อ่านบัตรและเทคโนโลยีอื่น ๆ ที่ยืนยันตัวตนของพนักงานและผู้รับเหมาทางอิเล็กทรอนิกส์และตรวจสอบการเข้าถึงสิ่งอำนวยความสะดวก”

ดังที่ Gao ชี้ให้เห็นว่า“ ในความพยายามที่จะเพิ่มความปลอดภัยของสิ่งอำนวยความสะดวกและระบบสารสนเทศของรัฐบาลกลางซึ่งมีศักยภาพในการโจมตีของผู้ก่อการร้ายเช่นที่เกิดขึ้นเมื่อวันที่ 11 กันยายน 2544 คำสั่งประธานาธิบดีความมั่นคงแห่งมาตุภูมิ 12 (HSPD-12) ได้กำหนดข้อกำหนดสำหรับมาตรฐานการระบุตัวตนของรัฐบาลกลาง

มาตรฐานนี้ระบุข้อกำหนดทางเทคนิคสำหรับระบบควบคุมการเข้าถึงทางกายภาพเพื่อ“ ออกข้อมูลรับรองการระบุตัวตนที่ปลอดภัยและเชื่อถือได้ให้กับพนักงานของรัฐบาลกลางและผู้รับเหมาเพื่อเข้าถึงสิ่งอำนวยความสะดวกและระบบข้อมูลของรัฐบาลกลาง”

เพื่อให้เป็นไปตามมาตรฐานนี้หน่วยงานของรัฐ“ ได้เริ่มดำเนินการระบบควบคุมการเข้าถึงทางกายภาพที่ได้รับการปรับปรุงสำหรับการควบคุมการเข้าถึงอาคารของพนักงานและผู้รับเหมา” โดยใช้ระบบที่อาศัย“ บัตรการตรวจสอบเอกลักษณ์ส่วนบุคคล (PIV) ที่ทำงานกับระบบควบคุมการเข้าถึงทางกายภาพของเครือข่าย” เพื่อให้มั่นใจว่าพนักงานและผู้รับเหมา

การอัปเดตไบโอเมตริกซ์ได้เรียนรู้จากบริการป้องกันการคุ้มครองของรัฐบาลกลาง (FPS) ที่หลากหลายสำหรับอาคารของรัฐบาลกลางรวมถึงสิ่งอำนวยความสะดวกของศาลรัฐบาลกลางซึ่งระบบควบคุมการเข้าถึงที่มีอยู่รวมถึง PIV และการรับรองอื่น ๆ มักจะไม่ทำงานรหัสที่ไม่ได้เปลี่ยนแปลงเป็นประจำและแม้แต่ระบบควบคุมการเข้าถึงอาคารภายในก็เป็นปัญหา

GAO ชี้ให้เห็นว่า“ ปัจจุบันไม่มี OMB หรือ GSA รวบรวมข้อมูลเกี่ยวกับความพยายามของหน่วยงานในการใช้ข้อกำหนดของระบบควบคุมการเข้าถึงทางกายภาพรวมถึงการใช้รายการผลิตภัณฑ์ที่ได้รับการรับรองนี่เป็นสิ่งสำคัญเนื่องจากการสัมภาษณ์ของเรากับผู้ผลิตระบบควบคุมการเข้าถึงทางกายภาพของเรา ข้อกำหนดการทดสอบแบบครบวงจรของระบบเริ่มต้นขึ้นพวกเขาได้ซื้ออุปกรณ์ควบคุมการเข้าถึงทางกายภาพที่ได้รับการรับรองจาก GSA สำหรับสิ่งอำนวยความสะดวกจำนวน จำกัด

ต่อเนื่อง GAO พบว่า“ สิ่งอำนวยความสะดวก GSA จำนวน จำกัด มีระบบควบคุมการเข้าถึงทางกายภาพที่ปฏิบัติตามข้อกำหนดล่าสุดอย่างเต็มที่” GSA บอก GAO ว่า“ ได้ปฏิบัติตามข้อกำหนดของระบบควบคุมการเข้าถึงทางกายภาพของรัฐบาลกลางสำหรับ 70 จากประมาณ 340 ของอาคารที่ไม่ใช่ศูนย์โดยมีอีก 90 แห่งที่สอดคล้องกับข้อกำหนด (เช่นใช้ข้อมูลรับรองการเข้าถึง PIV)

เจ้าหน้าที่ GSA บอกกับ GAO“ GSA ดูแลพื้นที่สาธารณะในอาคารศาลประมาณ 360 แห่งและกำลังพัฒนาแผนการดำเนินงานด้านความปลอดภัยสำหรับพื้นที่เหล่านี้” เจ้าหน้าที่ GSA ยังบอกกับ GAO ว่า GSA ดูแลอาคารให้เช่าประมาณ 8,000 อาคาร“ ที่ผู้เช่าในพื้นที่เหล่านี้มีหน้าที่รับผิดชอบในการตั้งค่าระบบควบคุมการเข้าถึงทางกายภาพและ GSA ไม่ได้ติดตามข้อมูลนี้”

เจ้าหน้าที่ของหน่วยงานยังบอกกับ GAO ว่า“ ระบบควบคุมการเข้าถึงทางกายภาพไม่จำเป็นในทุกพื้นที่ของอาคารของรัฐบาลกลางการประเมินความเสี่ยงตามที่แนะนำโดยคำแนะนำ ISC ควรกำหนดว่าระบบควบคุมการเข้าถึงทางกายภาพนั้นเป็นสิ่งจำเป็น”

ตามที่เจ้าหน้าที่ของกรมความมั่นคงแห่งมาตุภูมิ (DHS)“ รายการผลิตภัณฑ์ที่ได้รับการอนุมัติให้การกำหนดค่าแบบครบวงจรสำหรับระบบควบคุมการเข้าถึงทางกายภาพใหม่ แต่เนื่องจากเอเจนซี่ส่วนใหญ่มีระบบที่มีอยู่พวกเขาจำเป็นต้องติดตั้งระบบการตรวจสอบความถูกต้องและผู้อ่านที่เหมาะสม ในระบบที่มีอยู่ซึ่งยังคงอยู่ในช่วงเปลี่ยนผ่านไปยังรายการผลิตภัณฑ์ที่ได้รับการอนุมัติ

ในการใช้ HSPD-12 มาตรฐานและคำแนะนำเรียกร้องให้มีการทำงานร่วมกันของระบบเหล่านี้ทั่วทั้งหน่วยงาน

Gao ตั้งข้อสังเกตว่า“ การใช้ระบบควบคุมการเข้าถึงทางกายภาพที่หน่วยงานรัฐบาลกลางแสดงให้เห็นถึงการลงทุนของรัฐบาลกลางที่สำคัญตัวอย่างเช่นในอีก 5 ปีข้างหน้า” การบริหารความปลอดภัยด้านการขนส่ง (TSA) เพียงอย่างเดียวตั้งใจที่จะใช้จ่ายมากกว่า $ 70 ล้านเพื่อนำระบบควบคุมการเข้าถึงทางกายภาพมาใช้

และ TSA เป็นเพียง“ หนึ่งในหลายร้อยหน่วยงานของรัฐบาลกลาง” Gao ชี้ให้เห็น “ ตามที่เจ้าหน้าที่ GSA ระบุว่า GSA ใช้เงินหลายล้านดอลลาร์เพื่อทดสอบระบบเหล่านี้อย่างไรก็ตามคณะกรรมการรัฐสภาและผู้มีส่วนได้ส่วนเสียในอุตสาหกรรมบางคนได้ตั้งคำถามเกี่ยวกับการดำเนินการตามคำสั่งนี้โดยเฉพาะเกี่ยวกับขอบเขตที่หน่วยงานที่ใช้ผลิตภัณฑ์ที่ได้รับการอนุมัติ เป็นระบบควบคุมการปลอมแปลงโคลนหรือคัดลอกและระบบควบคุมการเข้าถึงทางกายภาพไม่สามารถตรวจจับได้”

ในขณะที่หน่วยงานรัฐบาลกลางจำนวนมากมีความรับผิดชอบทั่วทั้งรัฐบาลในการดำเนินการ HSPD-12 แต่ OMB รับผิดชอบทิศทางและการกำกับดูแลโดยรวมของโปรแกรม GSA“ มีหน้าที่ทดสอบระบบควบคุมการเข้าถึงทางกายภาพเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามมาตรฐานความปลอดภัยและการทำงานร่วมกันและการระบุระบบดังกล่าวผ่านรายการผลิตภัณฑ์ที่ได้รับการอนุมัติ” ซึ่ง OMB และกฎระเบียบการซื้อกิจการของรัฐบาลกลางกำหนดให้เอเจนซี่ใช้ ... เมื่อซื้อระบบควบคุมการเข้าถึงทางกายภาพเพื่อให้ได้วิธีการแบบบูรณาการสิ่งพิมพ์พิเศษ 800-116: คำแนะนำสำหรับการใช้ข้อมูลรับรอง PIV ในระบบควบคุมการเข้าถึงทางกายภาพเผยแพร่ในเดือนพฤศจิกายน 2551 สิ่งพิมพ์“ ให้แนวทางสำหรับการใช้การ์ด PIV ในระบบควบคุมการเข้าถึงทางกายภาพ [และ] แนะนำวิธีการตามความเสี่ยงสำหรับการเลือกกลไกการตรวจสอบสิทธิ์ PIV ที่เหมาะสมเพื่อจัดการการเข้าถึงทางกายภาพไปยังสิ่งอำนวยความสะดวกของรัฐบาลกลาง”

คณะกรรมการความมั่นคงระหว่างหน่วยงาน (ISC) ซึ่งเป็นประธานโดย DHS มีบทบาทพื้นฐานในการรับรองการปกป้องอาคารและสิ่งอำนวยความสะดวกและความปลอดภัย NIST กำหนดข้อกำหนดทางเทคนิค“ ซึ่งเป็นพื้นฐานของมาตรฐานรวมถึงตัวอย่างเช่นข้อกำหนดขั้นต่ำสำหรับระบบ PIV ของรัฐบาลกลางที่ตรงกับวัตถุประสงค์การควบคุมและความปลอดภัยของ HSPD-12.3”

GAO กล่าวว่า GSA บอกกับผู้ตรวจสอบว่า“ GSA และผู้รับเหมาทดสอบเพื่อให้กระบวนการรับรองความถูกต้องของใบรับรองนี้ประสบความสำเร็จอุปกรณ์ระบบควบคุมการเข้าถึงทางกายภาพจะต้องได้รับการสร้างเครือข่ายเพื่อให้ระบบควบคุมการเข้าถึงทางกายภาพสามารถสื่อสารกับไดเรกทอรีที่ดูแลโดยผู้ออกบัตรเท่านั้น ข้อมูลรับรองใด ๆ ที่กำหนด

รายงานของ GAO ต่อคณะอนุกรรมการระบุเจ้าหน้าที่จากห้าหน่วยงานที่ได้รับการคัดเลือก GAO“ ตรวจสอบความท้าทายจำนวนมากที่เกี่ยวข้องกับการดำเนินการ PACS รวมถึงค่าใช้จ่ายการขาดความชัดเจนเกี่ยวกับวิธีการจัดหาอุปกรณ์และความยากลำบากในการเพิ่มอุปกรณ์ PACS ใหม่ให้กับระบบมรดก”

นอกจากนี้ GAO รายงาน“ เจ้าหน้าที่จาก OMB, GSA และอุตสาหกรรมไม่เพียง แต่ยืนยันว่าความท้าทายเหล่านี้มีอยู่ แต่…พวกเขามักจะนำเสนอทั่วทั้งรัฐบาล” ISC ได้รับมอบหมายให้“ พัฒนามาตรฐานความปลอดภัยสำหรับหน่วยงานที่ไม่ใช่ทางทหารในความสามารถนี้ ISC อยู่ในตำแหน่งที่ดีในการกำหนดขอบเขตที่ความท้าทายในการดำเนินงานของ PACS มีอยู่ในการเป็นสมาชิกและพัฒนากลยุทธ์เพื่อจัดการกับพวกเขา

GAO แนะนำ“ OMB กำหนดและตรวจสอบระดับความคืบหน้าพื้นฐานเกี่ยวกับการดำเนินการ PACS อย่างสม่ำเสมอซึ่ง ISC ประเมินขอบเขตของและพัฒนากลยุทธ์ในการจัดการกับความท้าทายทั่วทั้งรัฐบาลในการดำเนินการ PACS”

OMB ไม่ได้แสดงความคิดเห็นเกี่ยวกับคำแนะนำของ GAO ในขณะที่ DHS เห็นด้วยกับคำแนะนำของ ISC เท่านั้น

Gao กล่าวว่า“ เราเชื่อว่าหลักฐานที่ได้รับนั้นเป็นพื้นฐานที่สมเหตุสมผลสำหรับการค้นพบและข้อสรุปของเราตามวัตถุประสงค์การตรวจสอบของเรา”

GAO รายงานว่า“ สัมภาษณ์ OMB และ GSA เกี่ยวกับความพยายามของพวกเขาในการปฏิบัติตามความรับผิดชอบทั่วทั้งรัฐบาลของพวกเขา [และ] ขอให้พวกเขาให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ได้รับการอนุมัติของหน่วยงานเราสัมภาษณ์ บริษัท ภาคเอกชนที่มีบทบาทสำคัญในการดำเนินงานของรัฐบาล สมาคมการค้าผู้รับเหมาของ GSA ที่ทดสอบระบบควบคุมการเข้าถึงทางกายภาพสำหรับรายการผลิตภัณฑ์ที่ได้รับการอนุมัติและที่ปรึกษาอุตสาหกรรมเป็นเวลานาน”

เจ้าหน้าที่ของหน่วยงานสองแห่งที่ได้รับการคัดเลือกและผู้ประกอบการระบบหนึ่งคนบอกกับ GAO“ เจ้าหน้าที่หน่วยงานบางคนลังเลที่จะรวมระบบควบคุมการเข้าถึงทางกายภาพของพวกเขาอย่างเต็มที่มากขึ้น ... เนื่องจากความกังวลเกี่ยวกับการเพิ่มขึ้นของความเสี่ยงด้านความปลอดภัยที่เกิดจากการเพิ่มความปลอดภัยของระบบการเข้าถึงระบบ ประสิทธิภาพลดการฉ้อโกงตัวตนและปกป้องความเป็นส่วนตัวส่วนบุคคลโดยการตรวจสอบความถูกต้องทางอิเล็กทรอนิกส์ของความถูกต้องของข้อมูลรับรองการเข้าถึง”

GAO ยังพบว่าผู้มีส่วนได้ส่วนเสียเชื่อว่าเจ้าหน้าที่หน่วยงานรัฐบาลกลางบางคนมีความรู้ จำกัด เกี่ยวกับข้อกำหนดของระบบควบคุมการเข้าถึงทางกายภาพ “ ตามที่ผู้ผลิตและผู้รวมระบบควบคุมการเข้าถึงทางกายภาพส่วนใหญ่เราได้พูดคุยกัน” GAO รายงานว่า“ เจ้าหน้าที่ที่ทำสัญญาของหน่วยงานรัฐบาลกลางมักจะขาดความเข้าใจที่เพียงพอเกี่ยวกับข้อกำหนดของระบบควบคุมการเข้าถึงทางกายภาพของรัฐบาลกลาง ช่องโหว่ของเอเจนซี่เหล่านี้และค่าใช้จ่ายในอนาคตที่มีราคาแพง”