国土安全督察长办公室最近发布了一份报告,详细说明了联邦应急管理局(FEMA)在处理有关2017年加利福尼亚230万飓风和野火幸存者的信息时所犯的错误。
在国家灾难期间,联邦应急管理局(FEMA)提供了一个名为过渡庇护援助(TSA)的项目,为灾难幸存者提供庇护所。
在一份题为“管理警报”的咨询报告中,联邦应急管理局披露了幸存者的个人信息,如银行账户信息,这些信息没有得到联邦应急管理局的适当保护,并泄露给了管理TSA项目的承包商。
在审计联邦紧急管理局(FEMA)的过渡庇护援助(TSA)计划时,我们发现FEMA违反了1974年颁布的《隐私法》和《国土安全法》,并披露了230万名哈维、埃尔玛和玛丽亚飓风和加利福尼亚州野火受害者的隐私信息。联邦应急管理局只应提供少量信息,以验证灾难幸存者是否有资格参加TSA计划。泄漏的主要原因是联邦应急管理局没有采取必要的措施来控制信息,从而增加了灾难幸存者身份盗窃和欺诈的风险。
当灾难幸存者参与TSA计划时,必须向FEMA提供个人信息。联邦应急管理局随后向管理TSA项目的承包商提供部分信息。
联邦应急管理局需要与承包商共享幸存者信息,如下所示:
申请人姓名中间名申请人姓名申请人出生日期申请人社会保险号后4位灾难号码TSA授权申请人的家庭号码开始日期计划结束日期全名输出序列号FEMA注册号。
除上述敏感信息外,联邦应急管理局还向承包商提供了剩余的20个不必要的数据字段,包括以下6个高度敏感的数据字段,使幸存者面临欺诈、鱼叉钓鱼和身份盗窃的风险。
申请人所在地的街道地址、城市名称、所在地的邮政编码、申请人所使用的金融机构名称、申请人的电子转账账号、申请人的银行转账账号。
国土安全总监察长办公室建议联邦应急管理局只与承包商共享必要的数据字段,以改善灾难幸存者的安全保障。报告还建议联邦应急管理局尽早确定泄漏范围,以确保销毁任何私人数据。
联邦应急管理局说,它已经开始调查隐私泄露,并已向承包商部署网络安全人员,以确定数据是否泄漏。
联邦应急管理局表示,联合评估小组删除了承包商系统中不必要共享的敏感性,并对承包商网络进行了深入评估。据联邦应急管理局称,目前还没有发现数据泄露。然而,联合评估小组发现承包商系统中存在几个安全漏洞和缺乏长期日志。截至2019年3月,系统中的4个漏洞已修复,其余7个漏洞已达成协议。联邦应急管理局预计脆弱性的完整修复日期为2020年6月30日。鉴于这一事件的紧迫性,我们敦促联邦应急管理局加快脆弱性修复过程。
网友评论