GAO: Los Alamos National Labin tietoverkkoturva puuttuu

Yhdysvaltojen hallituksen vastuullisuutta käsittelevän toimiston uuden raportin mukaan tietoturvapyrkimykset suojella johtavaa yhdysvaltalaista ydinvoima-alan laboratorion luokiteltua tietokoneverkkoa puuttuvat jopa tietyntyyppisten turvallisuuskatkojen jälkeen.

Los Alamos National Laboratory, on kärsinyt useita turvallisuusrikkomuksia viime vuosina, on edelleen "merkittäviä heikkouksia … suojellessaan luottamuksellisuutta, eheyttä ja saatavuutta tallennettuja tietoja ja lähetetään sen luokitellun tietokoneverkon", GAO sanoi raportissa julkaistiin perjantaina.

Laboratoriossa on haavoittuvuuksia useilla "kriittisillä" aloilla, mukaan lukien käyttäjien tunnistaminen ja todentaminen, käyttäjäoikeuden salliminen, salatun tiedon salaaminen ja ylläpitää turvallisia ohjelmistokokoonpanoja, GAO-raportti kertoi.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

"Tietoturvan heikkouksien keskeinen syy GAO-tunnistettavuus oli, että laboratorio ei ollut pannut täysin tietoja

Laboratorio ei ole toteuttanut kattavia riskinarviointeja luvattoman käytön estämiseksi, ei ole merkinnyt sen luokitellulle verkostolle tallennettujen tietojen luokitustasoa, ja se on tehnyt Tietoturvavastuullisten käyttäjien kouluttaminen on riittämätöntä, GAO-raportti totesi.

Tammikuussa raportoitiin kolmen tietokoneen varastamisesta laboratoriotyöntekijän kotona Santa Feissa, New Mexicossa. Myöhemmin raportit kertovat, että jopa 67 tietokonetta puuttui laboratoriosta.

Yhdysvaltain energiaministeriö muutti heinäkuussa 2007 laboratoriota lokakuun 2006 rikkomiseen, joka paljasti luokiteltuja tietoja.

Myös vuoden 2007 puolivälissä Yhdysvaltain lainsäätäjät kritisoivat laboratoriota sen jälkeen, kun raportit olivat ilmoittaneet, että useat virkamiehet olivat käyttäneet suojaamattomia sähköpostiviestejä jakamaan hyvin

Laboratoriossa oli muita tietoturvaongelmia, esimerkiksi tapauksia 2003 ja 2004, jolloin laboratorio ei voinut ottaa huomioon luokiteltuja irrotettavia sähköisiä tietovälineitä, kuten CD-levyjä ja irrotettavia kiintolevyjä.

Laboratoriotiedottaja ei palauta välittömästi sähköpostiviestin, joka etsii kommenttia GAO-raporttiin. DOE: n kansallinen ydinturvallisuusvirasto (NNSA) totesi yleisesti, että se on yleisesti samaa mieltä mietinnön kanssa, että laboratorio on edistynyt tietoverkkojen turvallisuuden alalla.

Monet puutteista on puututtu, kertoi Michael Kane, NNSA, kirjeessä GAO: lle. Vuonna 2007 julkaistussa DOE: n noudattamista koskevassa päätöksessä "on käsitelty tai on parhaillaan käsitelty useita keskeisiä teknisiä kysymyksiä ja politiikan toteuttamista koskevia ongelmia", Kane sanoi.

DOE valvoo laboratoriota, joka on monialainen tutkimuslaitos, joka työskentelee strategisissa tiede Yhdysvaltojen kansallisen turvallisuuden puolesta. Laboratoriota hoitaa yhdessä useat ryhmät, kuten NNSA ja Kalifornian yliopisto.