Het Department of Homeland Security heeft gevoelige gegevens van het nationale bioterrorisme-defensieprogramma opgeslagen op een onveilige website waar het meer dan tien jaar kwetsbaar was voor aanvallen door hackers. volgens overheidsdocumenten beoordeeld door de Los Angeles Times.

De gegevens omvatten de locaties van ten minste enkele BioWatch-luchtmonsternemers, die zijn geïnstalleerd op metrostations en andere openbare locaties in meer dan 30 Amerikaanse steden en zijn ontworpen om miltvuur of andere biologische wapens in de lucht te detecteren, Homeland Security-functionarissen bevestigden. Het omvatte ook de resultaten van tests op mogelijke pathogenen, een lijst van biologische agentia die zouden kunnen worden opgespoord en reactieplannen die zouden worden opgesteld in geval van een aanval.

De informatie - ondergebracht op een .org-website die wordt beheerd door een particuliere aannemer - is verplaatst achter een beveiligde firewall van de federale overheid, en de website werd in mei gesloten. Maar Homeland Security-functionarissen erkennen dat ze niet weten of hackers ooit toegang hebben gekregen tot de gegevens.

Interne e-mails en andere documenten van de Homeland Security laten zien dat de kwestie een bittere botsing veroorzaakte binnen de afdeling over de vraag of het bewaren van de informatie op de .org-website een bedreiging vormde voor de nationale veiligheid. Een voormalige beveiligingsmanager van BioWatch diende een klokkenluidersklacht in waarin hij beweerde dat hij het doelwit was van vergelding nadat hij kritiek had geuit op de lakse beveiliging van het programma.

De website deelde informatie met lokale, staats- en federale ambtenaren. Het was gemakkelijk te herkennen via online zoekmachines, maar een gebruikersnaam en wachtwoord waren vereist om toegang te krijgen tot gevoelige gegevens.

Een beveiligingsaudit die in januari 2017 werd voltooid, vond "kritieke" en "hoog risico" kwetsbaarheden, inclusief zwakke codering die de website "extreem vatbaar" maakte voor online aanvallen. De audit concludeerde dat er "geen enkele beschermende bewaking van de site lijkt te zijn, " volgens een rapport van Homeland Security dat de bevindingen samenvat.

In het rapport van een inspecteur-generaal dat later dat jaar werd gepubliceerd, stond dat gevoelige informatie sinds 2007 op het BioWatch-portaal was gehuisvest en kwetsbaar was voor hackers. Het rapport beval aan om de gegevens achter de firewall van de regering te verplaatsen en zei dat Homeland Security-functionarissen hadden ingestemd om dit te doen.

Het is onduidelijk hoe waardevol de gegevens zouden zijn geweest voor een terroristische groepering of vijandige staat. Wetenschappers hebben gewaarschuwd dat de BioWatch-technologie onbetrouwbaar is. Het systeem herkent slechts een beperkt aantal microben, en het worstelt om onderscheid te maken tussen typische omgevingsbacteriën en gevaarlijke bedreigingen.

Nog altijd, verschillende biodefensie-experts zeiden dat het verontrustend was dat functionarissen van de Homeland Security er niet in slaagden gevoelige informatie van een van de antiterrorismeprogramma's van het land adequaat te beveiligen.

"Het is nooit goed om uw kwetsbaarheden te adverteren. Uw tegenstanders gemakkelijk toegang geven tot uw kwetsbaarheden - dat is een nationaal veiligheidsrisico, naar mijn oordeel, " zei Tom Ridge, die als de eerste minister van Binnenlandse Veiligheid van het land toezicht hield op de lancering van BioWatch in 2003, maar sindsdien het programma als ondoeltreffend heeft bestempeld. "Elke Amerikaanse burger zou zich afvragen, 'Wat is er nog meer zo gemakkelijk bereikbaar voor de rest van de wereld?'"

James F. McDonnell, een assistent-secretaris die door president Donald Trump is aangesteld om toezicht te houden op het nieuwe bureau voor massavernietigingswapens van Homeland Security, waaronder BioWatch, zei dat de gegevens die buiten de beveiligde firewall van de overheid waren ondergebracht, niet belangrijk genoeg waren om een ​​bedreiging voor de nationale veiligheid te veroorzaken, maar hij zei dat functionarissen stappen hebben ondernomen om de cyberbeveiliging in het hele departement te versterken. Hij merkte op dat het probleem dateerde van vóór zijn benoeming.

"Wat er eerder gebeurde, eerder gebeurde. Je kunt de geest niet terug in de fles doen, " zei hij. "Er is een echte toename van zorgen over cyberbeveiliging."

—-

De beveiligingsproblemen voegen toe aan een lange lijst met problemen voor BioWatch.

Het programma, die de belastingbetaler meer dan 1,6 miljard dollar heeft gekost, werd gelanceerd twee jaar nadat brieven doorspekt met miltvuursporen vijf mensen doodden en 17 anderen ziek maakten kort na 11 september, 2001, terroristische aanslagen. BioWatch werd in 2007 onderdeel van het Office of Health Affairs van Homeland Security.

Een 2012 Times-onderzoek identificeerde ernstige tekortkomingen, inclusief valse alarmen en twijfels over de vraag of op BioWatch kan worden vertrouwd om een ​​bioterrorisme-gebeurtenis te identificeren. anno 2015, een studie van het Government Accountability Office concludeerde dat er niet op het programma kon worden gerekend om een ​​aanval te detecteren en zei dat BioWatch van 2003 tot 2014 149 valse alarmen genereerde.

Elke dag, gezondheidswerkers in het hele land verzamelen filters van de luchtmonsternemers en voeren tests uit op de inhoud, op zoek naar tekenen van gevaarlijke ziekteverwekkers in de lucht. In sommige gevallen, rapporten van verdachte laboratoriumbevindingen worden geüpload naar het BioWatch-portaal voor beoordeling door andere functionarissen.

Sommige lokale functionarissen maakten bezwaar tegen het opslaan van deze en andere gevoelige documenten op een federale server waartoe andere overheidsfunctionarissen toegang konden krijgen zonder hun medeweten of toestemming, volgens het rapport van de inspecteur-generaal. Als resultaat, het rapport zei, het Office of Health Affairs besloot het portaal niet binnen de firewall van het Department of Homeland Security te verplaatsen.

—-

In augustus 2016, Harry Jackson, die werkte voor een tak van Homeland Security die zich bezighoudt met informatiebeveiliging, werd toegewezen aan het BioWatch-programma. Drie maanden later, zei hij in een interview met The Times, hij hoorde over biowatchportal.org en eiste dat het bureau stopte met het gebruik ervan, met het argument dat het gerubriceerde informatie bevatte en dat de veiligheidsmaatregelen van het portaal ontoereikend waren.

Twee andere afdelingsfunctionarissen die belast zijn met het toezicht op hoe gevoelige informatie wordt behandeld, herhaalden de zorgen in e-mails aan BioWatch-managers, volgens records beoordeeld door The Times.

BioWatch-functionarissen duwden terug. Michaël Walter, de programmamanager, zei in een telefonische vergadering met andere Homeland Security-functionarissen dat informatie over de locatie van de luchtsamplers van het netwerk de effectiviteit ervan niet zou ondermijnen, aangezien het is ontworpen om een ​​massale biologische oorlogsvoeringsaanval te detecteren. De samplers zijn in het zicht, hij zei, volgens een opname van het telefoontje van Jackson en beoordeeld door The Times.

Larry "Dave" Fluty, dan de plaatsvervangend adjunct-secretaris van Gezondheidszaken, voerde tijdens hetzelfde gesprek aan dat het bureau eerder had besloten dat het behandelen van de informatie als geclassificeerd - en daarom strengere toegangsrichtlijnen teweeg te brengen - veiligheidsmachtigingen voor ongeveer 1 zou vereisen. 000 lokale ambtenaren die betrokken zijn bij het verzamelen en analyseren van gegevens van de luchtverzameleenheden.

"Vanuit een beleidsstandpunt werd bepaald dat dat niet kan gebeuren, " hij zei.

Weken na de telefonische vergadering, Steven Lynch, toen hoofd van de afdeling speciale beveiligingsprogramma's van Homeland Security, schreef in een door The Times beoordeelde memo dat het bureau van plan was de portal te verplaatsen naar een .gov-site achter de beveiligde federale firewall. Nog altijd, hij zei, experts concludeerden dat er "geen bewijs was van criminele of verdachte activiteiten" met betrekking tot het .org-portaal en "minimaal tot geen risico op ongeautoriseerde toegang".

Maar een klacht bij de inspecteur-generaal hotline had al geleid tot een interne audit van biowatchportal.org.

De audit bracht 41 kwetsbaarheden aan het licht, en een scan detecteerde een mogelijke poging van een hacker om toegang te krijgen tot de portal. Het auditteam kon de bevinding van de scan niet valideren, en het team adviseerde dat de aannemer die toezicht houdt op de locatie onderzoek zou doen. Het is niet duidelijk of dat is gedaan.

De aannemer, Instituut voor Logistiek Management, weigerde commentaar te geven. Walter, Fluty en Lynch reageerden niet op e-mails of telefoontjes van The Times.

—-

In januari 2017, Jackson publiceerde zijn zorgen over het portaal in de Journal of Bioterrorism &Biodefense. Zijn artikel beschrijft wat hij 'nalatige' beveiliging noemde, waarbij alleen eenstapsverificatie nodig was om toegang te krijgen tot de website.

Ambtenaren van het Department of Homeland Security verwijderden BioWatch uit Jackson's portfolio, vervolgens zijn veiligheidsmachtiging opgeschort en hem later met administratief verlof geplaatst. Ze lieten hem weten dat hij niet de juiste goedkeuring had gevraagd om zijn artikel te publiceren en dat het informatie bevatte die niet openbaar had mogen worden gemaakt. Ze haalden ook zijn recente veroordeling voor rijden onder invloed aan.

Jackson diende klokkenluidersklachten in bij verschillende federale instanties, beweerde dat hij het slachtoffer was van vergelding voor het bekritiseren van de veiligheid van het programma. In een, hij schreef dat een succesvolle hacker "het systeem kan controleren, gegevens manipuleren, en valse vlaggen creëren om federale, staat en lokale reactie op een mogelijk incident."

De klacht vervolgde:"Tot op heden Het DHS zal nooit weten welke schade hierdoor is ontstaan, omdat er geen mogelijkheid is voor inbraakdetectie."

Het rapport van de inspecteur-generaal dat later dat jaar werd gepubliceerd, zei dat er geen geheime informatie was gevonden op het BioWatch-portaal, maar het bevestigde dat "kritieke en risicovolle kwetsbaarheden" een aanvaller in staat zouden kunnen stellen toegang te krijgen tot gevoelige informatie op de site.

In oktober 2017, Homeland Security herstelde Jacksons veiligheidsmachtiging, maar gaf hem een ​​waarschuwing. In een brief waarin hij op de hoogte werd gesteld van de beslissing, werd zijn klokkenluidersclaim niet behandeld. Hij verliet het bureau een paar weken later.

Geen enkele federale instantie stemde ermee in de klachten van Jackson te onderzoeken. In mei, hij diende een beroep in bij het bureau van de inspecteur-generaal van de inlichtingengemeenschap. Hij wacht op een reactie.

©2019 Los Angeles Times
Gedistribueerd door Tribune Content Agency, LLC.