美国监察长办公室(OIG)的报告去年违反生物识别数据从海关和边境保护局在车辆过境点进行的飞行员发现,该机构的安全管制有重大问题,并建议采取三项措施来解决他们。
31页'在2019年生物识别试验期间,CBP重大网络安全事件的审查``考虑到如何将数据传输到VFS数据库,应用于数据的保护以及它们失败的位置,从德克萨斯州Anzalduas的车辆面系统(VFS)进行了漏洞。
违规行为包括来自面部识别飞行员的184,000张旅行者图像,其中至少有19个进入了黑暗网络。 CBP雇用Unisys Corporation设计,开发和安装生物识别系统,公司签约感知提供面部图像捕获解决方案。该公司已经为其他过境点提供了与CBP相似的技术。据报道,当时的知觉已经下载了面部生物识别数据以训练自己的面部识别算法,但是该公司被允许在此之后继续与CBP合作同意新的安全控制。
“感知人员从未加密的设备下载了CBP敏感的PII并将其存储在自己的网络上时,直接违反了DHS安全和隐私协议。”报告称,承包商能够这样做的事实表明,CBP控件的不足。
DHS策略,包括DHS 4300A敏感系统手册中规定的安全性和隐私协议,要求严格控制CBP系统中敏感数据的严格控制,以及未经授权的访问和不当存储的失败,使PILOT数据易于攻击,OIG发现。当在2019年5月13日之前的某个时候,当感知能力受到勒索软件攻击时,黑客偷了图像,以及与CBP计划有关的合同和其他文件。
人们发现,通过将数据传输到其网络,使用未加密的USB来保护敏感信息,并通过向UNISYS大约7天通知CBP,从而违反了行为规则。
OIG指出,违规行为对该计划的公共信任产生了重大不利影响。
OIG向CBP提出了三个建议,该代理机构都同意。
建议使用CBP来实施CBP威胁评估中确定的所有缓解和政策建议,包括USB设备限制。还敦促该机构与现场运营办公室副执行助理专员协调,以确保在整个生物识别入境/退出飞行员地点进行所有其他安全控制,并制定计划对涉及生物识别数据收集的第三方设备进行常规评估,以确保符合该机构的政策。
