ฉันคิดว่าการประกาศเมื่อวันที่ 4 มิถุนายนเกี่ยวกับการแฮ็กข้อมูลทางไซเบอร์ที่สำนักงานบริหารงานบุคคลเป็นความผิดพลาดครั้งใหญ่ที่สุดในประวัติศาสตร์ของหน่วยงาน OPM ล้มเหลวอย่างน่าสังเวชในการปกป้องข้อมูลที่มีค่าที่สุดที่มี: ข้อมูลที่ระบุตัวบุคคลเกี่ยวกับพนักงานของรัฐบาลกลางฟรานซิส โรส
แต่ OPM พิสูจน์ว่าฉันคิดผิด มันทำให้เกิดภัยพิบัติครั้งใหญ่ขึ้นสองครั้งในสัปดาห์ที่แล้ว ภัยพิบัติครั้งแรกคือการตอบสนองต่อการโจมตีที่น่ากลัว การตอบสนองนั้นเป็นความล้มเหลวสองแง่สองง่ามของสัดส่วน
ประวัติศาสตร์ ประเด็นที่หนึ่ง:หน่วยงานอาจ
ทำให้พนักงานเข้าใจผิดเกี่ยวกับขอบเขตและระยะเวลาของการละเมิด หรือทีมนิติเวชที่ตรวจสอบการละเมิดไม่ทราบว่ากำลังดูอะไรอยู่ เมื่อวันพฤหัสบดีที่ผ่านมา หน่วยงานกล่าวว่าการโจมตีเกิดขึ้นในเดือนเมษายนของปีนี้และส่งผลกระทบต่อผู้คน 4 ล้านคน ภายในวันพุธวันที่ถูกย้ายกลับถึงเดือนธันวาคม 2557 และจำนวนผู้ได้รับผลกระทบเพิ่มขึ้น 350 เปอร์เซ็นต์เป็น 14 ล้านคน นั่นไม่ได้ทำให้เกิดความมั่นใจอย่างแน่นอนว่าวันที่จะไม่เลื่อนกลับมาอีก และ/หรือว่าผู้คนจำนวนมากขึ้นจะรู้ว่าข้อมูลของพวกเขาถูกนำไปใช้ และมันเผยให้เห็นระยะเวลาที่นานขึ้นของความไร้เดียงสาเกี่ยวกับศัตรูของเราในการเปิดตู้เซฟที่เก็บอัญมณีประจำตระกูล ง่ามสอง:หน่วยงานทำส่วนที่สำคัญที่สุดของการตอบสนองต่อการแฮ็กไม่เรียบร้อย นั่นคือการสื่อสารกับพนักงาน มันส่งอีเมลที่คลุมเครือและคลุมเครือซึ่งไม่ได้ตอบคำถามหลักที่พนักงานต้องการ — ใครมีข้อมูลของฉัน พวกเขามีอะไร และหมายความว่าอย่างไร ในขณะที่สื่อบางสำนักอ้างถึงเจ้าหน้าที่รัฐบาลที่ไม่เปิดเผยชื่อซึ่งกล่าวว่าจีนอยู่เบื้องหลังการโจมตี OPM ถือว่าการโจมตีดังกล่าวเป็นการโจรกรรมข้อมูลระบุตัวตน โดยเสนอคำแนะนำแก่พนักงาน เช่น “ตรวจสอบรายงานเครดิตของคุณ” ก้มหน้าลงและเงียบไป ในขณะเดียวกัน ผู้เชี่ยวชาญทางไซเบอร์ทุกคนที่ฉันพบเรียกสิ่งนี้ว่าเป็นบทละครจารกรรมที่ชาวจีนสามารถใช้ประโยชน์เพื่อเจาะเครือข่ายของรัฐบาลต่อไปได้ เพื่อให้การตอบ
สนองแย่ลง อีเมลที่แจ้งพนักงานว่ามีความเสี่ยง
นั้นมาจากที่อยู่อีเมลที่ไม่ใช่ของรัฐบาล และมองหาคนทั้งโลกเหมือนกับการโจมตีแบบฟิชชิง อีเมลเหล่านั้นมีองค์ประกอบที่พบบ่อยที่สุดของความพยายามในการฟิชชิง: ลิงก์หลายลิงก์ที่นำผู้รับไปยังไซต์ที่ไม่ใช่ OPM และรหัสผ่านเพื่อป้อน แม้แต่อีเมลแจ้งเตือนก็ปัดความรับผิดชอบที่เอเจนซี่มีต่อพนักงาน มันระบุว่า “ไม่มีข้อความใดในจดหมายฉบับนี้ที่ควรตีความว่าเป็น OPM หรือรัฐบาลสหรัฐฯ ที่ยอมรับความรับผิดสำหรับเรื่องใดๆ ที่กล่าวถึงในจดหมายฉบับนี้หรือเพื่อวัตถุประสงค์อื่นใด” กล่าวอีกนัยหนึ่ง ทนายความของรัฐบาลบางแห่งทำให้แน่ใจว่าทั้ง OPM หรือใครก็ตามไม่ยอมรับคำตำหนิหรือยอมรับความรับผิดชอบใด ๆ ที่ทำให้ข้อมูลส่วนบุคคลของพนักงาน 4 ล้านคนถูกส่งไปยังรัฐบาลต่างประเทศ นี่คือการตรวจสอบเครดิตและการประกันความรับผิดของคุณ ไปให้พ้น หายนะครั้งที่สองคือการเปิดเผยว่าจริง ๆ แล้วมีการแฮ็กสองครั้ง ไม่ใช่ครั้งเดียว หลายลิงก์ที่นำผู้รับไปยังไซต์ที่ไม่ใช่ OPM และป้อนรหัสผ่าน แม้แต่อีเมลแจ้งเตือนก็ปัดความรับผิดชอบที่เอเจนซี่มีต่อพนักงาน มันระบุว่า “ไม่มีข้อความใดในจดหมายฉบับนี้ที่ควรตีความว่าเป็น OPM หรือรัฐบาลสหรัฐฯ ที่ยอมรับความรับผิดสำหรับเรื่องใดๆ ที่กล่าวถึงในจดหมายฉบับนี้หรือเพื่อวัตถุประสงค์อื่นใด” กล่าวอีกนัยหนึ่ง ทนายความของรัฐบาลบางแห่งทำให้แน่ใจว่าทั้ง OPM หรือใครก็ตามไม่ยอมรับคำตำหนิหรือยอมรับความรับผิดชอบใด ๆ ที่ทำให้ข้อมูลส่วนบุคคลของพนักงาน 4 ล้านคนถูกส่งไปยังรัฐบาลต่างประเทศ นี่คือการตรวจสอบเครดิตและการประกันความรับผิดของคุณ ไปให้พ้น หายนะครั้งที่สองคือการเปิดเผยว่าจริง ๆ แล้วมีการแฮ็กสองครั้ง ไม่ใช่ครั้งเดียว หลายลิงก์ที่นำผู้รับไปยังไซต์ที่ไม่ใช่ OPM และป้อนรหัสผ่าน แม้แต่อีเมลแจ้งเตือนก็ปัดความรับผิดชอบที่เอเจนซี่มีต่อพนักงาน มันระบุว่า “ไม่มีข้อความใดในจดหมายฉบับนี้ที่ควรตีควา
