.
Um sistema de computador do Departamento de Transportes dos EUA usado para reembolsar funcionários do governo federal pelos custos de deslocamento sofreu, de alguma forma, uma violação de segurança que expôs as informações pessoais de 237.000 funcionários atuais e antigos.
O TRANServe – um sistema eletrônico de passes de viagem gerenciado pelo DoT e usado por muitos funcionários do governo federal para incentivar o uso do transporte público – disse ao Congresso que cometeu um erro ao proteger esses dados.
O DoT disse Strong The One seu escritório de CIO “isolou a violação de certos sistemas no departamento usado para funções administrativas, como processamento de benefícios de trânsito de funcionários”, acrescentando que o incidente não afetou nenhum sistema de segurança de transporte. O DoT nos disse que ainda estava investigando e suspendeu o acesso ao sistema (conforme confirmado pelo site da TRANServe) até que possa protegê-lo e restaurá-lo com total confiança.
Perguntas adicionais, incluindo quando o incidente foi detectado pela primeira vez e que tipo de informação pessoal pode ter vazado, bem como quaisquer suposições sobre como isso aconteceu, não foram respondidas.
Segundo a Reuters, o erro afetou 114.000 atuais e 123.000 ex-funcionários do governo federal.
Recomendações não cumpridas significam que muitos dados estão sendo derramados
Fale sobre o momento ruim.
Apenas ontemo US Government Accountability Office (GAO) divulgou um relatório constatando que, embora o DoT tenha cumprido as recomendações para definir as funções e responsabilidades de segurança cibernética, ele não seguiu adiante em alguns casos.
Isso, infelizmente para a postura de segurança cibernética do DoT, é a ponta do iceberg quando se trata de falhas que podem ter contribuído para a violação do TRANServe.
Em um relatório revisando o status atual das recomendações prioritárias do DoT do GAO datadas de 9 de maio, o Controlador Geral dos EUA, Gene Dodario, disse que o DoT implementou apenas 67% das recomendações que o GAO fez a ele, 10% abaixo da média do governo federal.
“Em abril de 2023, o DoT tinha 178 recomendações abertas.
Jennifer Franks, diretora do GAO’s Center for Enhanced Cybersecurity e suas equipes de TI e cibersegurança, disse Strong The One houve um muitas recomendações feitas ao DoT ao longo dos anos, mas muitas correções de prioridade permanecem sem solução.
Como resultado, disse Franks, o DoT não possui estratégias de gerenciamento de risco implementado, não tem um bom entendimento dos riscos de uma TI em todo o governo escassez de trabalho e não tem um plano para responder a incidentes de privacidade como a exposição de PII.
Franks nos disse que muitos dos problemas de segurança cibernética e TI que o DoT está enfrentando se resumem a problemas de força de trabalho, incluindo o fato de que “não há [DoT] funcionários responsáveis pela privacidade que gerenciam a documentação para questões de privacidade.”
A falta de supervisão em questões de privacidade é a chave para este incidente, disse Franks, pois sem alguém encarregado de lidar com a exposição de dados, não está claro como e quando os funcionários cujos dados foram expostos serão notificados.
“O DoT deve definir e documentar totalmente um processo para garantir que o funcionário sênior da agência para privacidade esteja envolvido na avaliação e abordagem das necessidades de contratação, treinamento e desenvolvimento profissional da agência com relação à privacidade”, disse Franks em um e-mail. “Abordar nossa recomendação ajudaria o DoT a identificar melhor suas necessidades de pessoal de privacidade e garantir que ele tenha uma força de trabalho de privacidade suficiente e bem qualificada”, acrescentou Franks.
Juntamente com essa recomendação, o DoT também precisa agir para abordar as lacunas de habilidades, implementar uma estratégia adequada de gerenciamento de risco (Franks nos disse que o DoT pretende implementar algo até o final deste ano fiscal), determinar o nível atual de estrutura de segurança cibernética adoção e supervisão da tecnologia automatizada. ®
.
