Il Department of Homeland Security ha archiviato dati sensibili dal programma di difesa dal bioterrorismo della nazione su un sito Web insicuro dove era vulnerabile agli attacchi degli hacker per oltre un decennio, secondo i documenti del governo esaminati dal Los Angeles Times.

I dati includevano le posizioni di almeno alcuni campionatori d'aria BioWatch, che sono installati nelle stazioni della metropolitana e in altri luoghi pubblici in più di 30 città degli Stati Uniti e sono progettati per rilevare l'antrace o altre armi biologiche nell'aria, I funzionari della sicurezza interna hanno confermato. Comprendeva anche i risultati dei test per possibili agenti patogeni, un elenco di agenti biologici che potrebbero essere rilevati e piani di risposta da mettere in atto in caso di attacco.

Le informazioni, ospitate su un sito web .org gestito da un appaltatore privato, sono state spostate dietro un firewall sicuro del governo federale, e il sito web è stato chiuso a maggio. Ma i funzionari della Homeland Security riconoscono di non sapere se gli hacker abbiano mai avuto accesso ai dati.

Le e-mail e altri documenti della sicurezza interna interna mostrano che la questione ha scatenato un aspro scontro all'interno del dipartimento sul fatto che mantenere le informazioni sul sito web .org rappresentasse una minaccia per la sicurezza nazionale. Un ex responsabile della sicurezza di BioWatch ha presentato una denuncia da parte di un informatore sostenendo di essere stato preso di mira per ritorsione dopo aver criticato la sicurezza lassista del programma.

Il sito web ha condiviso informazioni tra locali, funzionari statali e federali. Era facilmente identificabile attraverso i motori di ricerca online, ma erano necessari un nome utente e una password per accedere ai dati sensibili.

Un audit di sicurezza completato nel gennaio 2017 ha rilevato vulnerabilità "critiche" e "ad alto rischio", inclusa la crittografia debole che ha reso il sito Web "estremamente incline" agli attacchi online. L'audit ha concluso che "non sembra esserci alcun monitoraggio protettivo del sito, "Secondo un rapporto della Homeland Security che riassume i risultati.

Il rapporto di un ispettore generale pubblicato nello stesso anno affermava che le informazioni sensibili erano state ospitate sul portale BioWatch dal 2007 ed erano vulnerabili agli hacker. Il rapporto raccomandava di spostare i dati dietro il firewall del governo e affermava che i funzionari della Homeland Security avevano accettato di farlo.

Non è chiaro quanto preziosi sarebbero stati i dati per un gruppo terroristico o uno stato nemico. Gli scienziati hanno avvertito che la tecnologia BioWatch è inaffidabile. Il sistema riconosce solo una gamma ristretta di microbi, e fa fatica a distinguere tra i tipici batteri ambientali e le minacce pericolose.

Ancora, diversi esperti di biodifesa hanno affermato che è preoccupante che i funzionari della sicurezza interna non siano riusciti a proteggere adeguatamente le informazioni sensibili da uno dei programmi antiterrorismo della nazione.

"Fare pubblicità alle tue vulnerabilità non è mai una buona cosa. Lasciare che i tuoi avversari accedano prontamente alle tue vulnerabilità:questo è un rischio per la sicurezza nazionale, a mio giudizio, " ha detto Tom Ridge, che in qualità di primo Segretario della Sicurezza Nazionale della nazione ha supervisionato il lancio di BioWatch nel 2003, ma da allora ha denunciato il programma come inefficace. "Ogni cittadino americano si chiederebbe, 'Cos'altro è così facilmente accessibile dal resto del mondo?'"

James F. McDonnell, un assistente segretario nominato dal presidente Donald Trump per sovrintendere al nuovo Ufficio per il contrasto delle armi di distruzione di massa della Sicurezza interna, che include BioWatch, ha affermato che i dati che erano ospitati al di fuori del firewall sicuro del governo non erano abbastanza importanti da causare una minaccia alla sicurezza nazionale, ma ha affermato che i funzionari hanno adottato misure per rafforzare la sicurezza informatica in tutto il dipartimento. Ha notato che il problema è anteriore alla sua nomina.

"Quello che è successo prima, successo prima. Non puoi rimettere il genio nella bottiglia, " ha detto. "C'è stato un vero e proprio aumento delle preoccupazioni sulla sicurezza informatica".

—-

I problemi di sicurezza si aggiungono a un lungo elenco di problemi per BioWatch.

Il programma, che è costato ai contribuenti più di 1,6 miliardi di dollari, è stato lanciato due anni dopo che lettere intrise di spore di antrace hanno ucciso cinque persone e ne hanno ammalate altre 17 poco dopo l'11 settembre. 2001, attacco terroristico. BioWatch è entrato a far parte dell'Office of Health Affairs della Homeland Security nel 2007.

Un'indagine del Times del 2012 ha individuato gravi carenze, compresi falsi allarmi e dubbi sulla possibilità di fare affidamento su BioWatch per identificare un evento di bioterrorismo. Nel 2015, uno studio del Government Accountability Office ha concluso che non si poteva fare affidamento sul programma per rilevare un attacco e ha affermato che BioWatch ha generato 149 falsi allarmi dal 2003 al 2014.

Ogni giorno, operatori sanitari pubblici in tutto il paese raccolgono filtri dai campionatori d'aria ed eseguono test sui contenuti, alla ricerca di segni di agenti patogeni pericolosi nell'aria. In alcuni casi, le segnalazioni di risultati di laboratorio sospetti vengono caricate sul portale BioWatch per la revisione da parte di altri funzionari.

Alcuni funzionari locali si sono opposti all'archiviazione di questi e altri documenti sensibili su un server federale a cui altri funzionari governativi potrebbero accedere senza la loro conoscenza o il loro consenso, secondo il rapporto dell'ispettore generale. Di conseguenza, il rapporto diceva, l'Office of Health Affairs ha deciso di non spostare il portale all'interno del firewall del Department of Homeland Security.

—-

Ad agosto 2016, Harry Jackson, che ha lavorato per un ramo della Homeland Security che si occupa di sicurezza informatica, è stato assegnato al programma BioWatch. Tre mesi dopo, ha detto in un'intervista al Times, ha saputo di biowatchportal.org e ha chiesto all'agenzia di smettere di usarlo, sostenendo che conteneva informazioni riservate e che le misure di sicurezza del portale erano inadeguate.

Altri due funzionari del dipartimento incaricati di monitorare il modo in cui vengono gestite le informazioni sensibili hanno fatto eco alle preoccupazioni nelle e-mail ai manager di BioWatch, secondo i documenti esaminati dal Times.

I funzionari di BioWatch respinti. Michele Walter, il gestore del programma, ha detto in una teleconferenza con altri funzionari della sicurezza interna che le informazioni sulla posizione dei campionatori d'aria della rete non ne comprometterebbero l'efficacia poiché è stato progettato per rilevare un massiccio attacco di guerra biologica. I campionatori sono in bella vista, Egli ha detto, secondo una registrazione della telefonata fatta da Jackson e recensita dal Times.

Larry "Dave" Fluty, poi vicesegretario principale degli Affari sanitari, ha sostenuto durante la stessa chiamata che l'agenzia aveva precedentemente deciso che trattare le informazioni come classificate, e quindi attivare linee guida di accesso più rigorose, avrebbe richiesto nulla osta di sicurezza per circa 1, 000 funzionari locali che sono coinvolti nella raccolta e nell'analisi dei dati dalle unità di raccolta dell'aria.

"È stato determinato da un punto di vista politico che ciò non può accadere, " Egli ha detto.

Settimane dopo la teleconferenza, Steven Lynch, allora capo della divisione dei programmi speciali di sicurezza della Homeland Security, ha scritto in una nota recensita da The Times che l'agenzia pianificava di spostare il portale su un sito .gov dietro il firewall federale sicuro. Ancora, Egli ha detto, gli esperti hanno concluso che non c'era "nessuna prova di attività criminali o sospette" che coinvolgessero il portale .org e "rischio minimo o nullo di accesso non autorizzato".

Ma una denuncia presentata alla hotline dell'ispettore generale aveva già attivato un audit interno di biowatchportal.org.

L'audit ha rilevato 41 vulnerabilità, e una scansione ha rilevato un possibile tentativo di un hacker di accedere al portale. Il team di audit non è stato in grado di convalidare il risultato della scansione, e il team ha raccomandato all'appaltatore che sovrintendeva al sito di indagare. Non è chiaro se ciò sia stato fatto.

Il contraente, Istituto di gestione della logistica, rifiutato di fornire un commento. Walter, Fluty e Lynch non hanno risposto alle e-mail o alle telefonate del Times.

—-

A gennaio 2017, Jackson ha pubblicato le sue preoccupazioni sul portale nel Journal of Bioterrorism &Biodefense. Il suo articolo descriveva in dettaglio quella che chiamava sicurezza "negligente" che richiedeva solo l'autenticazione a un fattore per accedere al sito web.

I funzionari del Dipartimento della sicurezza interna hanno rimosso BioWatch dal portafoglio di Jackson, poi ha sospeso il suo nulla osta di sicurezza e in seguito lo ha posto in congedo amministrativo. Gli hanno comunicato che non aveva cercato la giusta approvazione per pubblicare il suo articolo e che includeva informazioni che non avrebbero dovuto essere rese pubbliche. Hanno anche citato la sua recente condanna per guida in stato di ebbrezza.

Jackson ha presentato denunce di informatori a diverse agenzie federali, sostenendo di essere stato vittima di ritorsioni per aver criticato la sicurezza del programma. In uno, ha scritto che un hacker di successo potrebbe "monitorare il sistema, manipolare i dati, e creare false flag in modo da tracciare federali, risposta statale e locale a un possibile incidente".

La denuncia continuava:"A tutt'oggi, Il DHS non conoscerà mai il danno che ne è derivato perché non esiste una capacità di rilevamento delle intrusioni".

Il rapporto dell'ispettore generale pubblicato nello stesso anno affermava che sul portale BioWatch non era stata trovata alcuna informazione classificata, ma ha confermato che "vulnerabilità critiche e ad alto rischio" potrebbero consentire a un utente malintenzionato di accedere a informazioni sensibili sul sito.

Nell'ottobre 2017, La Sicurezza Nazionale ha ripristinato il nulla osta di sicurezza di Jackson, ma gli ha emesso un avvertimento. Una lettera che lo informava della decisione non rispondeva alla sua richiesta di informatore. Ha lasciato l'agenzia poche settimane dopo.

Nessuna agenzia federale ha accettato di indagare sulle lamentele di Jackson. A maggio, ha presentato ricorso all'ufficio dell'ispettore generale della comunità dell'intelligence. Sta aspettando una risposta.

©2019 Los Angeles Times
Distribuito da Tribune Content Agency, LLC.