美參議院公布政府資安體檢報告：8個聯邦機構中僅國土安全部合格

美國參議院國土安全暨政府事務委員會在本周公布了一份調查報告《聯邦網路安全：美國資料仍處於風險中》（Federal Cybersecurity: America’s Data Still at Risk ），該委員會檢查了8個美國聯邦機構，卻發現有7個並未遵守《美國聯邦資訊安全現代化法案》（Federal Information Security Modernization Act，FISMA）中對網路安全的基本要求，因而難以捍衛美國的資料安全。

被點名未能保障美國資料安全的7個聯邦機構，分別是國務院、交通部、住房及城市發展部、農業部、衛生與公共服務部、教育部與社會安全局，所犯的錯誤包括未能妥善保護個人身分資訊、未能準確維護與清點IT資產、未能維持資訊系統的授權操作、未即時安裝安全更新，以及沒有淘汰供應商不再支援的舊有技術。而唯一建立了有效資訊安全計畫的是國土安全部。

根據調查，這8個聯邦機構在資訊安全成熟度的平均成績只有C-，有6個機構的系統在缺乏授權的狀態下執行，有7個機構使用已不再被支援的系統，有6個機構沒有即時修補安全漏洞，有7個機構缺乏完整的IT資產清單，有7個機構未能適當保護個人身分資訊。

此外，這些聯邦機構並未設置網路安全的單一問責窗口，也缺乏統一的網路安全策略。

美國參議員Rob Portman表示，從SolarWinds到最近針對美國重大基礎設施發動的勒索軟體攻擊，在在顯示出網路攻擊將持續發生，自家的聯邦機構沒有盡力保護美國資料是不可接受的，上述錯誤將讓國家安全與個人資訊曝露在網路攻擊風險中。

該委員會除了準備推動立法來解決該報告所提供的建議，也督促拜登政府應該要設立一個主管機關，來監督聯邦機構的實施狀態。