美国海关与边境保护局因无人机监视隐私,安全性而失败

监察长办公室的审计发现,美国海关和边境保护局未考虑无人机监控数据的隐私以及IT安全控制。

一个通过无人机收集数据,图像和视频等数据的政府机构没有考虑到这些数据的隐私含义,这会让您感到惊讶吗?可能不是,但美国海关与边境保护局(CBP)官员显然震惊地知道这是必需的。

据一个 监察长办公室的审计 (OIG),CBP官员没有费心进行隐私阈值分析,因为他们“不知道这样做的必要性”。

但是,当您也可能在安全性方面失败时,为什么要停止一个单一的,尽管巨大的隐私失败呢?没错,在涉及CBP的无人机监控计划时,OIG发现了IT安全控制方面的故障,以及使CBP的无人飞机系统和操作面临风险的故障。实际上,审计结果提出了10条建议,以改善CBP的无人飞机系统计划。

CBP不仅没有对无人飞机系统(UAS)计划中使用的情报,监视和侦察(ISR)系统执行隐私评估,而且该机构还没有将ISR系统纳入CBP的IT库存中。这意味着该系统的部署没有任何CBP隐私办公室的监督。通过不评估监视系统的隐私,CBP无法确定从无人机收集和传输的图像和视频是否需要按照隐私法律,法规甚至国土安全部(DHS)政策的要求进行保护。

“各种CBP官员”声称,他们在部署无人机监视系统之前对隐私要求并不了解。有一次,OIG被告知不需要进行隐私分析,因为监视系统没有收集和存储个人身份信息(PII)。下一位负责人声称没有人告诉他需要进行隐私评估。监察办指出,承包商“在雇用政府雇员时遇到困难”。

无人机系统从未添加到CBP的IT库存中

CBP显然未能建立ISR系统的组织所有权,这意味着“对系统的整体管理几乎没有分配任何责任和问责制”。空中和海上运营拥有“ ISR系统的所有权”,但是从未有任何一个实体被视为负责资金和维护的责任方。

由于无人机监控系统从未添加到CBP的IT库存中,因此,由于没有受到隐私监督,隐私部门的官员可以宣布隐私失败是空军和海事行动与CBP信息办公室的共同失败。

空中和海上运营官员“无法确定ISR系统是否包含需要隐私保护措施的隐私信息。没有适当的隐私保护,现有的任何敏感隐私信息都可能丢失,被盗或受到破坏。”

至于大量的安全失败,OIG写道:

而且,CBP没有实施保护ISR系统所需的信息安全控制。例如,ISR系统无权进行操作,包括操作计划的连续性。缺乏持续监控以促进有效的安全事件处理,报告和补救,而系统维护和对承包商人员的监督却不一致。此外,CBP没有实施适当的控制措施来限制对装有ISR系统数据的地面控制站的物理访问。

之所以出现这些信息安全缺陷,是因为CBP没有建立有效的计划结构,包括有效管理ISR系统所需的领导,专业知识,人员,培训和指导。结果,情监侦系统和特派团的行动受到可信赖的内部人员和外部资源损害的风险增加。

OIG继续解释说,没有有效的授权运行ISR系统。在某一时刻,有一个 草案 系统安全计划,但从未最终确定。因此,要知道没有安全评估报告,最终风险评估和运营计划的连续性也就不足为奇了。

在ISR系统中发现的漏洞

由于没有系统安全计划和风险评估,OIG没有基准来测试系统是否符合NIST的一系列系统安全控制措施。尽管如此,OIG指出,补丁管理可以改善,因为他们发现了远程执行代码的关键漏洞,以及Windows 7工作站上的七个高风险漏洞和Windows Server 2008上的一个高风险漏洞。

此外,OIG在系统上发现了24个可移动媒体设备-其中22个未经授权,是政府发行的设备。未经授权的设备能够删除UAS捕获的视频和图像等数据。

该报告不断地讨论审计监视信息系统时发现的脸部问题,例如未监控系统事件和使用过时软件的问题。监察办还发现,对负责情监侦系统的人员的管理不充分,包括承包商的监督,以及物理访问控制的不充分,这被认为是防范入侵者企图未经授权进入的第一道防线。

总的来说,监察办就该监视系统提出了10项建议,建议CBP。

版权 © 2018 IDG通讯 ,Inc.