Crédito:CC0 Public Domain
El Departamento de Seguridad Nacional almacenó datos confidenciales del programa de defensa contra el bioterrorismo de la nación en un sitio web inseguro donde fue vulnerable a ataques de piratas informáticos durante más de una década. según documentos gubernamentales revisados por Los Angeles Times.
Los datos incluían la ubicación de al menos algunos muestreadores de aire BioWatch, que están instalados en estaciones de metro y otros lugares públicos en más de 30 ciudades de EE. UU. y están diseñados para detectar ántrax u otras armas biológicas en el aire, Confirmaron los funcionarios de Seguridad Nacional. También incluyó los resultados de las pruebas de posibles patógenos, una lista de agentes biológicos que podrían detectarse y planes de respuesta que se pondrían en marcha en caso de un ataque.
La información, que se encuentra en un sitio web .org administrado por un contratista privado, se ha movido detrás de un firewall seguro del gobierno federal. y el sitio web se cerró en mayo. Pero los funcionarios de Seguridad Nacional reconocen que no saben si los piratas informáticos alguna vez obtuvieron acceso a los datos.
Los correos electrónicos internos de Seguridad Nacional y otros documentos muestran que el problema desencadenó un amargo enfrentamiento dentro del departamento sobre si mantener la información en el sitio web .org representaba una amenaza para la seguridad nacional. Un exgerente de seguridad de BioWatch presentó una denuncia de denuncia de irregularidades alegando que fue objeto de represalias después de criticar la laxa seguridad del programa.
El sitio web compartió información entre locales, funcionarios estatales y federales. Fue fácilmente identificable a través de motores de búsqueda en línea, pero se requería un nombre de usuario y una contraseña para acceder a datos confidenciales.
Una auditoría de seguridad completada en enero de 2017 encontró vulnerabilidades "críticas" y "de alto riesgo", incluido un cifrado débil que hizo que el sitio web sea "extremadamente propenso" a los ataques en línea. La auditoría concluyó que "no parece haber ningún control de protección del sitio, "según un informe de Seguridad Nacional que resume los hallazgos.
Un informe del inspector general publicado más tarde ese año dijo que la información confidencial se había alojado en el portal BioWatch desde 2007 y era vulnerable a los piratas informáticos. El informe recomendó trasladar los datos detrás del cortafuegos del gobierno y dijo que los funcionarios de Seguridad Nacional habían acordado hacerlo.
No está claro cuán valiosos habrían sido los datos para un grupo terrorista o un estado enemigo. Los científicos han advertido que la tecnología BioWatch no es confiable. El sistema reconoce solo una pequeña gama de microbios, y lucha por diferenciar entre las bacterias ambientales típicas y las amenazas peligrosas.
Todavía, varios expertos en biodefensa dijeron que era perturbador que los funcionarios de Seguridad Nacional no consiguieran proteger adecuadamente la información confidencial de uno de los programas antiterroristas de la nación.
"Anunciar sus vulnerabilidades nunca es algo bueno. Dejar que sus adversarios accedan fácilmente a sus vulnerabilidades:es un riesgo para la seguridad nacional, a mi juicio "dijo Tom Ridge, quien, como primer secretario de Seguridad Nacional de la nación, supervisó el lanzamiento de BioWatch en 2003, pero desde entonces ha denunciado que el programa es ineficaz. "Todo ciudadano estadounidense se preguntaría, '¿Qué más es tan fácilmente accesible para el resto del mundo?' "
James F. McDonnell, un subsecretario designado por el presidente Donald Trump para supervisar la nueva Oficina de Lucha contra las Armas de Destrucción Masiva de Seguridad Nacional, que incluye BioWatch, dijo que los datos que se encontraban fuera del firewall seguro del gobierno no eran lo suficientemente importantes como para causar una amenaza a la seguridad nacional, pero dijo que los funcionarios han tomado medidas para fortalecer la seguridad cibernética en todo el departamento. Señaló que el problema era anterior a su nombramiento.
"¿Qué pasó antes, sucedió antes. No puedes volver a poner al genio en la botella ", dijo." Ha habido un aumento real de las preocupaciones sobre la seguridad cibernética ".
—-
Los problemas de seguridad se suman a una larga lista de problemas para BioWatch.
El programa, que ha costado a los contribuyentes más de $ 1.6 mil millones, se lanzó dos años después de que cartas mezcladas con esporas de ántrax mataran a cinco personas y enfermaran a otras 17 poco después del 11 de septiembre. 2001, ataques terroristas. BioWatch se convirtió en parte de la Oficina de Asuntos de Salud de Seguridad Nacional en 2007.
Una investigación del Times de 2012 identificó graves deficiencias, incluyendo falsas alarmas y dudas sobre si se puede confiar en BioWatch para identificar un evento de bioterrorismo. En 2015, un estudio de la Oficina de Responsabilidad del Gobierno concluyó que no se podía contar con el programa para detectar un ataque y dijo que BioWatch generó 149 falsas alarmas desde 2003 hasta 2014.
Cada día, los trabajadores de salud pública de todo el país recogen filtros de los muestreadores de aire y realizan pruebas en el contenido, buscando señales de patógenos peligrosos en el aire. En algunos casos, Los informes de hallazgos de laboratorio sospechosos se cargan en el portal BioWatch para que otros funcionarios los revisen.
Algunos funcionarios locales se opusieron a almacenar estos y otros documentos confidenciales en un servidor federal al que otros funcionarios gubernamentales pudieran acceder sin su conocimiento o consentimiento. según el informe del inspector general. Como resultado, el informe decía, la Oficina de Asuntos de Salud decidió no mover el portal dentro del cortafuegos del Departamento de Seguridad Nacional.
—-
En agosto de 2016, Harry Jackson, que trabajó para una rama de Seguridad Nacional que se ocupa de la seguridad de la información, fue asignado al programa BioWatch. Tres meses después, dijo en una entrevista con The Times, se enteró de biowatchportal.org y exigió a la agencia que dejara de usarlo, argumentando que albergaba información clasificada y que las medidas de seguridad del portal eran inadecuadas.
Otros dos funcionarios del departamento encargados de monitorear cómo se maneja la información confidencial se hicieron eco de las preocupaciones en los correos electrónicos a los gerentes de BioWatch, según los registros revisados por The Times.
Los funcionarios de BioWatch rechazaron. Michael Walter, el director del programa, dijo en una conferencia telefónica con otros funcionarios de Seguridad Nacional que la información sobre la ubicación de los muestreadores de aire de la red no socavaría su efectividad, ya que fue diseñada para detectar un ataque de guerra biológica masiva. Los muestreadores están a la vista, él dijo, según una grabación de la llamada realizada por Jackson y revisada por The Times.
Larry "Dave" Fluty, luego subsecretario adjunto principal de Asuntos de Salud, argumentó durante la misma llamada que la agencia había decidido previamente que tratar la información como clasificada y, por lo tanto, activar pautas de acceso más estrictas, requeriría autorizaciones de seguridad para algunos 1, 000 funcionarios locales que participan en la recopilación y análisis de datos de las unidades de recolección de aire.
"Se determinó desde el punto de vista de la política que eso no puede suceder, " él dijo.
Semanas después de la conferencia telefónica, Steven Lynch, entonces jefe de la división de programas especiales de seguridad de Seguridad Nacional, escribió en un memorando revisado por The Times que la agencia planeaba mover el portal a un sitio .gov detrás del firewall federal seguro. Todavía, él dijo, los expertos concluyeron que "no había evidencia de actividad criminal o sospechosa" que involucrara el portal .org y "mínimo o ningún riesgo de acceso no autorizado".
Pero una queja presentada a la línea directa del inspector general ya había desencadenado una auditoría interna de biowatchportal.org.
La auditoría arrojó 41 vulnerabilidades, y un escaneo detectó un posible intento de un pirata informático de acceder al portal. El equipo de auditoría no pudo validar el hallazgo del escaneo, y el equipo recomendó que el contratista que supervisa el sitio investigue. No está claro si eso se hizo.
El contratista, Instituto de Gestión Logística, se negó a proporcionar un comentario. Walter, Fluty y Lynch no respondieron a los correos electrónicos ni a las llamadas telefónicas de The Times.
—-
En enero de 2017, Jackson publicó sus preocupaciones sobre el portal en el Journal of Bioterrorism &Biodefense. Su artículo detallaba lo que llamó seguridad "negligente" que solo requería autenticación de un solo factor para acceder al sitio web.
Los funcionarios del Departamento de Seguridad Nacional eliminaron BioWatch de la cartera de Jackson, luego suspendió su autorización de seguridad y luego lo puso en licencia administrativa. Le notificaron que no había buscado la aprobación adecuada para publicar su artículo y que incluía información que no debería haberse hecho pública. También citaron su reciente condena por conducir en estado de ebriedad.
Jackson presentó denuncias de denunciantes ante varias agencias federales, alegando que fue víctima de represalias por criticar la seguridad del programa. En uno, escribió que un hacker exitoso podría "monitorear el sistema, manipular datos, y crear banderas falsas para vigilar federal, respuesta estatal y local a un posible incidente ".
La denuncia continuó:"Hasta la fecha, El DHS nunca sabrá el daño que ha resultado de esto porque no hay capacidad de detección de intrusos ".
El informe del inspector general publicado más tarde ese año dijo que no se encontró información clasificada en el portal BioWatch, pero confirmó que las "vulnerabilidades críticas y de alto riesgo" podrían permitir que un atacante acceda a información confidencial en el sitio.
En octubre de 2017, El Departamento de Seguridad Nacional restableció la autorización de seguridad de Jackson, pero le hizo una advertencia. Una carta en la que se le notificaba la decisión no abordó su reclamo de denunciante. Dejó la agencia unas semanas después.
Ninguna agencia federal accedió a investigar las quejas de Jackson. En Mayo, presentó una apelación ante la Oficina del Inspector General de la Comunidad de Inteligencia. Está esperando una respuesta.
© 2019 Los Angeles Times
Distribuido por Tribune Content Agency, LLC.