O Departamento de Segurança Interna armazenou dados confidenciais do programa de defesa contra o bioterrorismo do país em um site inseguro, onde ficou vulnerável a ataques de hackers por mais de uma década, de acordo com documentos do governo revisados ​​pelo Los Angeles Times.

Os dados incluíram as localizações de pelo menos alguns amostradores de ar BioWatch, que estão instalados em estações de metrô e outros locais públicos em mais de 30 cidades dos EUA e são projetados para detectar antraz ou outras armas biológicas aerotransportadas, Funcionários da Segurança Interna confirmados. Ele também incluiu os resultados dos testes para possíveis patógenos, uma lista de agentes biológicos que poderiam ser detectados e planos de resposta que seriam colocados em prática no caso de um ataque.

As informações - hospedadas em um site .org administrado por uma empresa privada - foram movidas para trás de um firewall seguro do governo federal, e o site foi encerrado em maio. Mas os funcionários da Segurança Interna reconhecem que não sabem se os hackers alguma vez obtiveram acesso aos dados.

E-mails internos da Segurança Interna e outros documentos mostram que o problema gerou um confronto acirrado dentro do departamento sobre se manter as informações no site .org representava uma ameaça à segurança nacional. Um ex-gerente de segurança da BioWatch registrou uma denúncia alegando que ele foi alvo de retaliação após criticar a falta de segurança do programa.

O site compartilhou informações entre os locais, funcionários estaduais e federais. Era facilmente identificável por meio de mecanismos de pesquisa online, mas um nome de usuário e uma senha eram necessários para acessar dados confidenciais.

Uma auditoria de segurança concluída em janeiro de 2017 encontrou vulnerabilidades "críticas" e "de alto risco", incluindo criptografia fraca que tornava o site "extremamente sujeito" a ataques online. A auditoria concluiu que "não parece haver qualquer monitoramento de proteção do local, "de acordo com um relatório da Segurança Interna resumindo as descobertas.

Um relatório do inspetor-geral publicado no final daquele ano disse que informações confidenciais estavam armazenadas no portal BioWatch desde 2007 e eram vulneráveis ​​a hackers. O relatório recomendou mover os dados atrás do firewall do governo e disse que os funcionários da Segurança Interna concordaram em fazê-lo.

Não está claro o quão valiosos os dados teriam sido para um grupo terrorista ou estado inimigo. Os cientistas alertaram que a tecnologia BioWatch não é confiável. O sistema reconhece apenas uma faixa estreita de micróbios, e se esforça para diferenciar entre bactérias ambientais típicas e ameaças perigosas.

Ainda, Vários especialistas em biodefesa disseram que era preocupante que os funcionários da Segurança Interna não conseguissem proteger adequadamente as informações confidenciais de um dos programas antiterrorismo do país.

"Anunciar suas vulnerabilidades nunca é uma coisa boa. Permitir que seus adversários acessem prontamente suas vulnerabilidades - isso é um risco de segurança nacional, no meu julgamento, "disse Tom Ridge, que, como primeiro secretário de Segurança Interna do país, supervisionou o lançamento de BioWatch em 2003, mas desde então denunciou o programa como ineficaz. "Todo cidadão americano se perguntaria, 'O que mais é tão facilmente acessível para o resto do mundo?' "

James F. McDonnell, um secretário assistente nomeado pelo presidente Donald Trump para supervisionar o novo Escritório de Combate às Armas de Destruição em Massa da Segurança Interna, que inclui BioWatch, disse que os dados armazenados fora do firewall governamental seguro não eram importantes o suficiente para causar uma ameaça à segurança nacional, mas ele disse que as autoridades tomaram medidas para fortalecer a segurança cibernética em todo o departamento. Ele observou que o problema era anterior à sua nomeação.

"O que aconteceu antes, aconteceu antes. Você não pode colocar o gênio de volta na garrafa, "disse ele." Tem havido um aumento real das preocupações com a segurança cibernética. "

—-

Os problemas de segurança aumentam uma longa lista de problemas para BioWatch.

O programa, que custou aos contribuintes mais de US $ 1,6 bilhão, foi lançada dois anos depois que cartas com esporos de antraz mataram cinco pessoas e deixaram outras 17 doentes logo após o 11 de setembro, 2001, ataques terroristas. BioWatch tornou-se parte do Escritório de Assuntos de Saúde da Segurança Interna em 2007.

Uma investigação do Times de 2012 identificou deficiências graves, incluindo alarmes falsos e dúvidas sobre se o BioWatch poderia ser usado para identificar um evento de bioterrorismo. Em 2015, um estudo do Government Accountability Office concluiu que não se podia contar com o programa para detectar um ataque e disse que o BioWatch gerou 149 alarmes falsos de 2003 a 2014.

Cada dia, trabalhadores de saúde pública em todo o país coletam filtros dos amostradores de ar e executam testes no conteúdo, em busca de sinais de patógenos perigosos no ar. Em alguns casos, relatórios de descobertas laboratoriais suspeitas são carregados no portal BioWatch para revisão por outros funcionários.

Alguns funcionários locais se opuseram ao armazenamento desses e de outros documentos confidenciais em um servidor federal que outros funcionários do governo poderiam acessar sem seu conhecimento ou consentimento, de acordo com o relatório do inspetor-geral. Como resultado, o relatório disse, o Escritório de Assuntos de Saúde decidiu não mover o portal para dentro do firewall do Departamento de Segurança Interna.

—-

Em agosto de 2016, Harry Jackson, que trabalhava para uma filial da Segurança Interna que lida com segurança da informação, foi atribuído ao programa BioWatch. Três meses depois, ele disse em uma entrevista ao The Times, ele aprendeu sobre biowatchportal.org e exigiu que a agência parasse de usá-lo, argumentando que abrigava informações sigilosas e que as medidas de segurança do portal eram inadequadas.

Dois outros funcionários do departamento encarregados de monitorar como as informações confidenciais são tratadas ecoaram as preocupações em e-mails para os gerentes da BioWatch, de acordo com registros revisados ​​pelo The Times.

Funcionários da BioWatch recuaram. Michael Walter, o gerente do programa, disse em uma teleconferência com outros funcionários da Segurança Interna que as informações sobre a localização dos amostradores de ar da rede não prejudicariam sua eficácia, uma vez que foi projetada para detectar um ataque de guerra biológica em massa. Os amostradores estão à vista de todos, ele disse, de acordo com uma gravação da ligação feita por Jackson e revisada pelo The Times.

Larry "Dave" Fluty, em seguida, principal vice-secretário assistente de Assuntos de Saúde, argumentou durante a mesma ligação que a agência havia decidido anteriormente que tratar as informações como classificadas - e, portanto, desencadear diretrizes de acesso mais rígidas - exigiria autorizações de segurança para alguns 1, 000 funcionários locais envolvidos na coleta e análise de dados das unidades de coleta de ar.

"Foi determinado de um ponto de vista político que isso não pode acontecer, " ele disse.

Semanas após a teleconferência, Steven Lynch, em seguida, chefe da divisão de programas especiais de segurança da Segurança Interna, escreveu em um memorando revisado pelo The Times que a agência planejava mover o portal para um site .gov protegido por um firewall federal seguro. Ainda, ele disse, especialistas concluíram que não havia "nenhuma evidência de atividade criminosa ou suspeita" envolvendo o portal .org e "mínimo ou nenhum risco de acesso não autorizado".

Mas uma reclamação feita à linha direta do inspetor geral já havia acionado uma auditoria interna do biowatchportal.org.

A auditoria revelou 41 vulnerabilidades, e uma varredura detectou uma possível tentativa de um hacker de acessar o portal. A equipe de auditoria não foi capaz de validar a descoberta da varredura, e a equipe recomendou que o empreiteiro que supervisionava o local investigasse. Não está claro se isso foi feito.

O empreiteiro, Logistics Management Institute, se recusou a fornecer um comentário. Walter, Fluty e Lynch não responderam a e-mails ou telefonemas do The Times.

—-

Em janeiro de 2017, Jackson publicou suas preocupações sobre o portal no Journal of Bioterrorism &Biodefense. Seu artigo detalhou o que ele chamou de segurança "negligente", que exigia apenas autenticação de fator único para acessar o site.

Funcionários do Departamento de Segurança Interna removeram BioWatch do portfólio de Jackson, em seguida, suspendeu seu credenciamento de segurança e, mais tarde, colocou-o em licença administrativa. Eles o notificaram de que ele não havia buscado a devida aprovação para publicar seu artigo e que incluía informações que não deveriam ter sido tornadas públicas. Eles também citaram sua recente condenação por dirigir embriagado.

Jackson apresentou queixas de denúncias a várias agências federais, alegando ter sido vítima de retaliação por criticar a segurança do programa. Em um, ele escreveu que um hacker de sucesso poderia "monitorar o sistema, manipular dados, e criar bandeiras falsas para vigiar o federal, resposta estadual e local a um possível incidente. "

A reclamação continuou:"Até hoje, O DHS nunca saberá o dano que resultou disso porque não há capacidade de detecção de intrusão. "

O relatório do inspetor-geral publicado no final daquele ano disse que nenhuma informação classificada foi encontrada no portal BioWatch, mas confirmou que "vulnerabilidades críticas e de alto risco" podem permitir que um invasor acesse informações confidenciais no site.

Em outubro de 2017, A Segurança Interna restabeleceu a autorização de segurança de Jackson, mas emitiu um aviso para ele. Uma carta notificando-o da decisão não atendeu à sua reclamação de denunciante. Ele deixou a agência algumas semanas depois.

Nenhuma agência federal concordou em investigar as queixas de Jackson. Em maio, ele interpôs recurso para o Escritório do Inspetor-Geral da Comunidade de Inteligência. Ele está esperando uma resposta.

© 2019 Los Angeles Times
Distribuído pela Tribune Content Agency, LLC.