联邦存款保险公司(FDIC)发生了许多严重的内部违规行为,其中包括一名前“雇员”,他“复制”了三个敏感解决方案的高度机密组件,这些计划是无效的USB存储设备,并在2017年校准办公室(OIG)报告(OIG)报告(OIG)报告(OIG)校准(GAO)审计师报告的一份审计师报告中,并将信息突然辞职。 FDIC管理的两项基金的陈述 - 存款保险基金(DIF)以及联邦储蓄和贷款保险公司(FSLIC)解决基金(FRF)。
在上面的事件中,OIG执法人员随后收回了包含所有被剥离数据的USB设备,以及用硬拷贝的第四个解决方案计划的敏感执行摘要。根据OIG刑事调查,该雇员随后在纽约东区联邦地方法院被控盗窃政府财产。
在另一份OIG报告中,GAO对FDIC识别和报告主要信息安全事件的过程进行了审核,发现涉及员工使用USB存储设备的违规行为复制10,000多个文档,其中包括员工离开FDIC的10,000多个独特的社会保险号。
“我们发现,在事件的发现与事件涉及数据泄露的决心之间经过4周的时间……我们得出结论,FDIC没有专门用于审查潜在违规行为的足够资源。”
在2015年底和2016年初,FDIC受到“重大网络安全事件”的影响。 FDIC检测到八个数据泄露,因为离开FDIC之前不久,离开员工不当就获取了敏感信息。 FDIC最初估计,这些敏感信息包括与大约380家金融机构相关的大约200,000个单个银行客户的个人身份信息(PII),以及金融机构的专有和敏感数据;但是,FDIC随后将受影响个体的数量修改为121,633。
Because individuals may have access to sensitive or personally identifiable information as well as privileged access to critical infrastructure or business sensitive information (eg, bank data), FDIC established the Insider Threat and Counterintelligence Program (ITCIP) in September 2016. ITCIP is a defensive program focused on preventing and mitigating internal and external threats and risks posed to FDIC personnel, facilities, assets, resources, and both national security and sensitive information由内部和外国情报实体。
高高指出,“这些威胁可能涉及……有意违反敏感信息的人员,这些人员可能会被外部来源妥协,不满,寻求个人利益,打算损害FDIC的声誉或出于某些其他原因而造成的声誉。以某种原因的责任,itcip shipical shotical和逻辑保障措施,以最大程度地威胁到风险最小,并限制了实施权限,并限制了犯罪分子,并限制了犯罪分子,又是指数。
经修订的《联邦存款保险法》第17条要求GAO每年审核FRF的财务报表。此外,《政府公司控制法》要求FDIC每年为国会准备并提交经审计的财务报表,并提供GAO授权进行审计。
据高(Gao)称,截至去年12月,“ FDIC在2017年解决了我们在2016年审计中报告的重大缺陷。具体来说,FDIC充分解决了信息系统访问和配置管理控制中的缺陷,因此我们不再考虑在这一领域中剩余的控制缺陷,以表现出该领域的剩余控制缺陷,以代表2017年12月31日,以代表2017年12月31日。
However, GAO also stated, “The FDIC must continue its efforts to mitigate cybersecurity risks at financial institutions and third-party technology service providers [TSPs] in order to protect the Deposit Insurance Fund and consumers. In this regard, the FDIC should continue building its capabilities to assess IT risks and trends and deploy IT examination staff commensurate with risks at FDIC-supervised institutions. Further, the FDIC should take prompt当银行没有有效的信息安全计划时,监管行动。”
FDIC IT安全性的重要性不能被低估。 FDIC使用IT系统和应用程序执行有关金融机构,消费者保护,管理DIF,解决方案和接管机构的确保和合理性的多个任务目标。正如GAO所解释的那样,“这些系统和应用程序拥有大量敏感数据。例如,FDIC的失败银行数据系统包含来自500多个银行故障的2,500多个敏感信息。”
FDIC系统还包含大量的PII,包括与FDIC保险机构和失败的银行以及FDIC员工有关的与银行官员,存款人和借款人有关的姓名,社会保险号和地址。在FDIC的261个系统申请中,151个应用程序需要隐私影响评估,因为它们会收集,维护或传播PII。
此外,GAO对FDIC的信息安全控制对关键财务系统,数据和网络的评估“确定了FDIC的信息安全性缺陷”。
例如,GAO说:“发现FDIC没有实施足够的控制来将金融系统与网络的其他部分隔离,以防止未经授权的用户和系统与金融系统进行通信。”
GAO进一步发现,FDIC没有对系统工程师使用的特权帐户进行足够的控制,以管理FDIC的虚拟环境。高高说:“结果,FDIC的能力降低了系统中授权和未经授权的活动的能力。”
根据GAO的说法,这些信息系统控制问题“截至2016年12月31日,“代表了FDIC对财务报告系统的内部控制”。
在2017年9月的OIG报告中控制人员访问敏感信息的控制“在管理承包商访问FDIC系统,数据和设施时”确定了弱点。 OIG审计指出:“将承包商雇员分开可能比FDIC员工更大的风险,因为FDIC可能对个人承包商的人员历史记录不太了解,并且承包商可能会在没有先进通知的情况下出发。进一步,我们发现使用数据损失预防(DLP)工具对网络活动的优先审查没有在预先验证的清除过程中对许多承包商进行。”
据估计,在2015年10月1日至2016年9月30日之间分开的FDIC承包商中,“至少有43%”不接受DLP优先审查。
“此外,FDIC无法找到46%的承包商的清仓记录。
SUSB后期的OIG报告于2017年6月对FDIC身份,凭证和访问管理程序的跟进审核,发现FDIC“没有维护当前,准确和完整的承包商人员数据,以确保个人身份验证(PIV)卡(即,徽章)凭证发行给授权的FDIC承包商。”
OIG总结说:“缺乏可靠的承包商信息,不可及时发行和撤销PIV卡,从而增加了未经授权访问FDIC设施和网络的风险。”
另一个OIG审计报告,FDIC响应违反个人身份信息的过程,评估了FDIC程序的充分性,以评估对违反PII影响的个人的伤害风险,并在适当时通知并为这些人提供服务。 2015年1月1日至12月1日之间发生的可疑违规行为的样本可能影响了13,000人。
OIG说:“我们发现,直到发现违规之日起超过9个月,FDIC才通知受影响的人。此外,我们指出,FDIC没有专门用于解决违规调查活动的急剧增加的资源。”
此外,OIG“确定负责检查数据泄露的个人并不总是具有必要的技能和培训,以确保其职责的正确履行。”
在最近最近的OIG报告中FDIC信息安全计划的审核 - 2017年OIG“确定了FDIC安全控制弱点,这些弱点限制了FDIC信息安全计划和实践的有效性,并将FDIC信息系统和数据的机密性,完整性和可用性置于风险上。
在OIG评估中,涉及技术服务的计算机安全事件的案例研究,它审查了有关计算机安全事件的指控,该指控可能涉及来自居住在TSP计算机服务器上的多个客户金融机构,涉及未经授权访问未加密的个人身份信息(PII)。 OIG“得出的结论是,内部控制环境和模糊的事件响应政策限制了TSP防止事件的能力并阻碍了事件的响应工作。TSP没有收集或保留诸如服务器的图像之类的法医信息,并且缺乏计算机活动日志来识别数据访问和剥离。”
货币主计长办公室(OCC)半年度风险观点(2017年春季)警告说:“ TSP是……网络犯罪的目标,可以通过供应IT产品和服务来为银行运营提供后门,从而允许远程访问和管理银行运营或应用程序。” OCC还确定了依靠少量TSP的大量银行的担忧。
Gao报道说:“例如,OCC审查员确定了用于商品卡处理,缓解服务措施和信任帐户系统的第三方服务作为提供者之间集中注意力的实例,” Gao指出,“因此,如果TSP将其系统或信息受到损害,则可能会对银行业的大部分细分市场产生重大影响。
GAO表示,FDIC IT考试评估了FDIC监督机构和精选TSP的IT风险的管理,包括网络安全。 “当考试确定机构中的不当风险和疲软的风险管理实践时,FDIC可能会使用非正式或正式的执法程序来解决这些风险和惯例,以及恶化的财务状况,或违反法律或法规的行为,” Gao说,“许多金融机构都与TSPS一起使用某些银行运作的合同,例如某些银行运作或产品行动或产品行动或产品线或产品线或产品线。
FDIC在2017年的绩效计划表明,它将优先考虑“保护其网络和数据免受未经授权的访问,数据泄露和入侵的努力”。该计划进一步指出,FDIC打算实施技术以提高其对敏感数据进行分类和保护的能力。 2017年,FDIC更新了其IT战略计划,修改了其违规响应计划,并建立了首席信息安全官的新办公室。 FDIC还向所有员工和承包商发行了PIV卡,并开始使用卡来访问FDIC计算机。
Gao说:“向前看,FDIC还计划将网络安全集成到FDIC范围内的企业体系结构中,并更新其过期和过时的软件和补丁管理的政策和程序。
