Data Paling Sensitif pada Laptop Pemerintah Tidak Terenkripsi

Hanya 30 persen dari informasi sensitif yang disimpan di laptop dan perangkat seluler pemerintah AS, termasuk informasi pribadi warga AS, dienkripsi setahun yang lalu, meskipun serangkaian pelanggaran data di lembaga pemerintah dalam beberapa tahun terakhir, menurut auditor

Laporan, oleh Kantor Akuntabilitas Pemerintah AS, menemukan bahwa 70 persen informasi sensitif yang disimpan di laptop dan perangkat seluler di 24 lembaga utama AS tidak terenkripsi pada September lalu. Laporan GAO mendefinisikan beberapa jenis data sebagai sensitif, termasuk catatan medis pribadi, informasi pribadi lainnya, data penegakan hukum dan catatan penting untuk keamanan dalam negeri.

"Sementara semua lembaga telah memulai upaya untuk menyebarkan teknologi enkripsi, tidak ada yang telah mendokumentasikan rencana komprehensif untuk memandu aktivitas implementasi enkripsi, "kata laporan itu. "Akibatnya informasi federal mungkin tetap berisiko tinggi terhadap pengungkapan, kehilangan, dan modifikasi yang tidak sah."

Laporan ini mengikuti serangkaian kecelakaan keamanan oleh agensi pemerintah AS dalam beberapa tahun terakhir. Pada Maret 2007, Dinas Pendapatan Internal A.S. melaporkan bahwa 490 laptop hilang atau dicuri dalam periode tiga tahun. Sangat mungkin bahwa banyak laptop yang berisi informasi pribadi tentang pembayar pajak AS, menurut laporan auditor IRS.

Pada bulan September 2006, Departemen Perdagangan AS melaporkan bahwa 1.137 laptop hilang atau dicuri sejak tahun 2001, dengan 249 dari mereka mengandung beberapa data pribadi. Agen AS lainnya juga melaporkan laptop yang hilang atau dicuri.

Pada bulan Mei 2006, Departemen Urusan Veteran melaporkan bahwa laptop dan hard drive yang berisi informasi pribadi 26,5 juta veteran militer dan pasangan mereka dicuri dari rumah seorang karyawan di agen. Petugas penegak hukum memulihkan perangkat keras, dan agensi mulai mengenkripsi laptopnya di akhir tahun itu.

Laporan GAO mencatat bahwa beberapa undang-undang, termasuk Undang-Undang Pengelolaan Keamanan Informasi Federal (FISMA) tahun 2002, mengharuskan agen untuk melindungi data mereka. Selain itu, Kantor Manajemen dan Anggaran Gedung Putih (OMB) pertama kali direkomendasikan pada tahun 2006, kemudian diwajibkan pada bulan Mei 2007, bahwa agensi mengenkripsi semua data sensitif pada komputer seluler.

Tetapi mandat OMB dan laporan GAO sebagian besar merindukan perlu untuk keamanan informasi di pemerintah AS, kata Phil Dunkelberger, CEO PGP, vendor enkripsi dan produk keamanan lainnya, dalam sebuah wawancara. Pemerintah AS perlu fokus pada pendekatan yang lebih luas terhadap cybersecurity, termasuk perlindungan data yang lebih baik pada jaringan pemerintah, katanya.

"Kapan kita akan serius dalam melindungi data - enkripsi berbasis peran dan kebijakan, bukan hanya enkripsi perangkat? " dia berkata. "Sampai kita serius tentang mengambil pandangan strategis data … kita tidak akan memiliki dampak besar."

Bahkan jika laptop dienkripsi, pemerintah masih menghadapi masalah keamanan dengan media yang dapat dilepas seperti thumb drive, dia ditambahkan. Dan banyak lembaga AS menghadapi tantangan dengan mencari waktu untuk mengenkripsi ribuan laptop dan dengan mengelola kunci enkripsi setelah perangkat dienkripsi, katanya.

Banyak perangkat pemerintah mungkin terlalu tua untuk menggunakan teknologi enkripsi terbaru, dan pekerja pemerintah mungkin menggunakan tidak standar perangkat untuk mengakses informasi sensitif, Dunkelberger menambahkan. Dengan semua masalah itu, Dunkelberger mengatakan bahwa dia tidak terkejut dengan laporan GAO.

Pemerintah AS memiliki "mandat yang sangat baik untuk mengamankan data, namun, cara mereka melakukannya adalah kesalahan," Dunkelberger menambahkan. "Gagasan bahwa Anda dapat mengirimkan surat edaran dari OMB dan tiba-tiba, semuanya secara ajaib diperbaiki … adalah harapan yang benar-benar salah."

Dua anggota demokratis dari Komite Keamanan Dalam Negeri DPR AS mengatakan mereka kecewa dengan enkripsi agen AS upaya. Panitia mengumumkan laporan GAO Senin malam.

"Enkripsi bukan pilihan, itu adalah mandat," Perwakilan Bennie Thompson, seorang Demokrat Mississippi dan ketua komite, mengatakan dalam sebuah pernyataan. "Sayangnya, saya tidak terkejut bahwa meskipun ada mandat oleh OMB, pemerintah federal hanya 30 persen dari jalan di sana. Membuat investasi yang tepat dalam cybersecurity hari ini akan membuat kita tidak membayar mahal dalam jangka panjang."

Instansi federal "Jauh tertinggal di belakang sektor swasta" dalam melindungi dan mengenkripsi data, Perwakilan Zoe Lofgren, seorang Demokrat Kalifornia, menambahkan dalam sebuah pernyataan. "Saya khawatir bahwa pemerintah kita tidak bergerak cukup cepat dalam upaya untuk mengamankan sistem dan prosedurnya," tambahnya.