7月7日消息,一份最新監察報告顯示,美國環保局(EPA)未能跟蹤、修補數千個涉及環境和輻射數據的關鍵漏洞。這一安全缺陷可能對公共健康構成重大風險。

美國環保局監察長辦公室周三發布的報告稱,根據聯邦命令,環保局應在規定時間內解決輻射數據分析系統(ARaDS)的已知漏洞,然而,環保局未能做到這一點。

ARaDS是一個信息技術框架,用于收集、分析全美范圍內的空氣、降水、飲用水和土壤輻射監測數據,并針對全國性輻射事故發出預警。

對美國環保局網絡的掃描發現了超過兩萬個關鍵漏洞實例。這些漏洞可能對遠程計算機產生拒絕服務攻擊、內存損壞和遠程代碼執行等影響。監察長辦公室從中選定了8個關鍵漏洞進行審查,發現美國環保局未能充分跟蹤、徹底修補這些漏洞。

監察報告顯示:“ARaDS系統收集、分析和托管的數據十分重要,如遭泄露,會對公共健康構成重大風險。”

美國國家標準與技術研究院(NIST)要求聯邦機構,在2個自然日內修補關鍵漏洞,7天內修補中危漏洞,30天內修補低危漏洞。

美國環保局官員將ARaDS系統關鍵補丁安裝進度滯后歸因于系統“關鍵漏洞數量過多”、“現有資源不足以解決漏洞”。

監察報告稱,美國環保局在成熟度模型指標上只得到3分(滿分為5分)。這說明,美國環保局雖然一直遵循2014年《聯邦信息安全現代化法案》規定,實施信息安全政策和程序,但是“缺少定量、定性評估相關工作有效性的措施”。

監察長報告建議美國環保局制定實施計劃,優先安排在規定時間內為已知漏洞打補丁,并將如下要求納入監測指南:應更及時地審查新信息安全程序,并分配漏洞跟蹤、評估進度等職責。

美國環保局當前遵守的IT評估程序已經過時。該程序要求美國環保局在三年內達到聯邦命令要求,而美國管理和預算辦公室要求聯邦機構在NIST標準發布后一年內達到標準要求。

美國環保局同意監察長辦公室提出的三項建議,提出了糾正措施,并附上了跟蹤、修補上述漏洞的時間表。

空氣與輻射辦公室主任助理主管Joseph Goffman在回應監察報告時提到,上述漏洞未能解決,一定程度上是因為制造商不會定期用于測量輻射數據的核輻射計數器。美國環保局準備在空氣與輻射辦公室新增兩個網絡安全職位,負責漏洞監測修補,為替換過時軟件的硬件解決方案提供資金。

美國環保局還希望從技術現代化基金獲得250萬美元投資,進一步打造現代化的ARaDS系統網絡。

信息安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接