Følsomme data fra et amerikansk antiterrorprogram var let tilgængelige i årevis, optegnelser viser

Department of Homeland Security opbevarede følsomme data fra landets bioterrorismeforsvarsprogram på et usikkert websted, hvor det var sårbart over for angreb fra hackere i over et årti, ifølge regeringsdokumenter gennemgået af Los Angeles Times.

Dataene omfattede placeringen af ​​mindst nogle BioWatch luftprøvetagere, som er installeret på metrostationer og andre offentlige steder i mere end 30 amerikanske byer og er designet til at detektere miltbrand eller andre luftbårne biologiske våben, Homeland Security-embedsmænd bekræftede. Det omfattede også resultaterne af tests for mulige patogener, en liste over biologiske agenser, der kunne påvises, og reaktionsplaner, der ville blive iværksat i tilfælde af et angreb.

Oplysningerne – der ligger på et .org-websted drevet af en privat entreprenør – er blevet flyttet bag en sikker føderal regerings firewall, og hjemmesiden blev lukket ned i maj. Men Homeland Security-embedsmænd erkender, at de ikke ved, om hackere nogensinde har fået adgang til dataene.

Interne Homeland Security-e-mails og andre dokumenter viser, at problemet satte gang i et bittert sammenstød i afdelingen om, hvorvidt det at beholde oplysningerne på .org-webstedet udgjorde en trussel mod den nationale sikkerhed. En tidligere BioWatch-sikkerhedschef indgav en whistleblower-klage med påstand om, at han var udsat for gengældelse efter at have kritiseret programmets slappe sikkerhed.

Hjemmesiden delte information blandt lokale, statslige og føderale embedsmænd. Det var let at identificere gennem online søgemaskiner, men et brugernavn og en adgangskode var påkrævet for at få adgang til følsomme data.

En sikkerhedsrevision gennemført i januar 2017 fandt "kritiske" og "højrisiko" sårbarheder, herunder svag kryptering, der gjorde hjemmesiden "ekstremt tilbøjelig" til onlineangreb. Revisionen konkluderede, at der "ikke synes at være nogen beskyttende overvågning af stedet, " ifølge en Homeland Security-rapport, der opsummerer resultaterne.

En generalinspektørs rapport offentliggjort senere samme år sagde, at følsom information havde været opbevaret på BioWatch-portalen siden 2007 og var sårbar over for hackere. Rapporten anbefalede at flytte dataene bag regeringens firewall og sagde, at Homeland Security-embedsmænd havde indvilliget i at gøre det.

Det er uklart, hvor værdifulde dataene ville have været for en terrorgruppe eller fjendestat. Forskere har advaret om, at BioWatch-teknologien er upålidelig. Systemet genkender kun et snævert udvalg af mikrober, og det kæmper for at skelne mellem typiske miljøbakterier og farlige trusler.

Stadig, flere bioforsvarseksperter sagde, at det var foruroligende, at Homeland Security-embedsmænd undlod at sikre tilstrækkeligt følsomme oplysninger fra et af landets anti-terror-programmer.

"Det er aldrig en god ting at annoncere for dine sårbarheder. At lade dine modstandere let få adgang til dine sårbarheder - det er en national sikkerhedsrisiko, efter min vurdering, " sagde Tom Ridge, der som landets første minister for indenrigssikkerhed overvågede lanceringen af ​​BioWatch i 2003, men siden har fordømt programmet som ineffektivt. "Enhver amerikansk statsborger ville undre sig, 'Hvad ellers er så let tilgængeligt for resten af ​​verden?'"

James F. McDonnell, en assisterende sekretær udpeget af præsident Donald Trump til at føre tilsyn med Homeland Securitys nye Counting Weapons of Mass Destruction Office, som inkluderer BioWatch, sagde, at de data, der var placeret uden for den sikre regerings firewall, ikke var vigtige nok til at forårsage en national sikkerhedstrussel, men han sagde, at embedsmænd har taget skridt til at styrke cybersikkerheden på tværs af afdelingen. Han bemærkede, at problemet var forud for hans udnævnelse.

"Hvad skete der før, sket før. Du kan ikke putte ånden tilbage i flasken, " sagde han. "Der har været en reel stigning i bekymringerne om cybersikkerhed."

—-

Sikkerhedsproblemerne tilføjer en lang liste af problemer for BioWatch.

Programmet, hvilket har kostet skatteyderne mere end 1,6 milliarder dollars, blev lanceret to år efter breve fyldt med miltbrandsporer dræbte fem mennesker og gjorde 17 andre syge kort efter den 11. september. 2001, terrorangreb. BioWatch blev en del af Homeland Security's Office of Health Affairs i 2007.

En 2012 Times-undersøgelse identificerede alvorlige mangler, herunder falske alarmer og tvivl om, hvorvidt BioWatch kunne stoles på til at identificere en bioterrorhændelse. I 2015 en undersøgelse fra Government Accountability Office konkluderede, at programmet ikke kunne regne med at opdage et angreb, og sagde, at BioWatch genererede 149 falske alarmer fra 2003 til 2014.

Hver dag, Folkesundhedsarbejdere over hele landet indsamler filtre fra luftprøvetagerne og udfører test på indholdet, søger efter tegn på farlige patogener i luften. I nogle tilfælde, rapporter om mistænkelige laboratoriefund uploades til BioWatch-portalen til gennemgang af andre embedsmænd.

Nogle lokale embedsmænd gjorde indsigelse mod at opbevare disse og andre følsomme dokumenter på en føderal server, som andre embedsmænd kunne få adgang til uden deres viden eller samtykke, ifølge generalinspektørens rapport. Som resultat, rapporten sagde, Office of Health Affairs besluttede ikke at flytte portalen ind i Department of Homeland Securitys firewall.

—-

I august 2016 Harry Jackson, som arbejdede for en afdeling af Homeland Security, der beskæftiger sig med informationssikkerhed, blev tildelt BioWatch-programmet. Tre måneder senere, sagde han i et interview med The Times, han lærte om biowatchportal.org og krævede, at agenturet stoppede med at bruge det, med påstand om, at den indeholdt klassificerede oplysninger, og at portalens sikkerhedsforanstaltninger var utilstrækkelige.

To andre embedsmænd i afdelingen, der har til opgave at overvåge, hvordan følsomme oplysninger håndteres, gentog bekymringerne i e-mails til BioWatch-ledere, ifølge optegnelser gennemgået af The Times.

BioWatch-embedsmænd skubbede tilbage. Michael Walter, programmets leder, sagde i et telefonmøde med andre Homeland Security-embedsmænd, at oplysninger om placeringen af ​​netværkets luftprøvetagere ikke ville underminere dets effektivitet, da det var designet til at opdage et massivt biologisk krigsangreb. Prøverne er synlige, han sagde, ifølge en optagelse af opkaldet foretaget af Jackson og anmeldt af The Times.

Larry "Dave" Fluty, daværende Sundhedsanliggenders vigtigste assisterende sekretær, hævdede under samme opkald, at agenturet tidligere havde besluttet, at behandling af oplysningerne som klassificerede - og derfor udløser strengere adgangsretningslinjer - ville kræve sikkerhedsgodkendelser for omkring 1, 000 lokale embedsmænd, der er involveret i indsamling og analyse af data fra luftopsamlingsenhederne.

"Det blev bestemt ud fra et politisk synspunkt, at det ikke kan ske, " han sagde.

Uger efter telefonkonferencen, Steven Lynch, daværende chef for Homeland Securitys afdeling for særlige sikkerhedsprogrammer, skrev i et notat anmeldt af The Times, at agenturet planlagde at flytte portalen til et .gov-websted bag den sikre føderale firewall. Stadig, han sagde, eksperter konkluderede, at der ikke var "ingen beviser for kriminel eller mistænkelig aktivitet", der involverede .org-portalen, og "minimal til ingen risiko for uautoriseret adgang."

Men en klage til inspektørens generelle hotline havde allerede udløst en intern revision af biowatchportal.org.

Revisionen viste 41 sårbarheder, og en scanning opdagede et muligt forsøg fra en hacker på at få adgang til portalen. Auditteamet var ikke i stand til at validere scanningens fund, og teamet anbefalede, at entreprenøren, der fører tilsyn med stedet, undersøger. Det er uklart, om det blev gjort.

Entreprenøren, Logistics Management Institute, afviste at give en kommentar. Walter, Fluty og Lynch svarede ikke på e-mails eller telefonopkald fra The Times.

—-

I januar 2017 Jackson offentliggjorde sine bekymringer om portalen i Journal of Bioterrorism &Biodefense. Hans artikel beskrev, hvad han kaldte "uagtsom" sikkerhed, der kun krævede enkeltfaktor-godkendelse for at få adgang til webstedet.

Embedsmænd fra Department of Homeland Security fjernede BioWatch fra Jacksons portefølje, suspenderede derefter sin sikkerhedsgodkendelse og satte ham senere på administrativ orlov. De meddelte ham, at han ikke havde søgt den rette godkendelse til at offentliggøre sin artikel, og at den indeholdt oplysninger, som ikke burde have været offentliggjort. De nævnte også hans nylige dom for spritkørsel.

Jackson indgav whistleblower-klager til flere føderale agenturer, påstår, at han var offer for gengældelse for at kritisere programmets sikkerhed. I en, han skrev, at en succesfuld hacker kunne "overvåge systemet, manipulere data, og skabe falske flag for at udelukke føderale, statslig og lokal reaktion på en mulig hændelse."

Klagen fortsatte:"Til denne dato, DHS vil aldrig kende den skade, der er resultatet af dette, fordi der ikke er nogen mulighed for indtrængen detektion."

Generalinspektørens rapport offentliggjort senere samme år sagde, at der ikke blev fundet nogen klassificeret information på BioWatch-portalen, men det bekræftede, at "kritiske og højrisikosårbarheder" kunne give en angriber adgang til følsomme oplysninger på webstedet.

I oktober 2017 Homeland Security genindsatte Jacksons sikkerhedsgodkendelse, men udstedte ham en advarsel. Et brev, der underrettede ham om beslutningen, behandlede ikke hans whistleblowerkrav. Han forlod bureauet et par uger senere.

Intet føderalt agentur gik med til at undersøge Jacksons klager. I maj, han indgav en appel til Office of the Intelligence Community Inspector General. Han afventer svar.

©2019 Los Angeles Times
Distribueret af Tribune Content Agency, LLC.