在参议院新的网络安全报告卡中，没有一个联邦机构获得“A”

周二，美国参议院国土安全和政府事务委员会成员发布了一份两党报告 [PDF]，报告指出，他们审查的八个联邦机构中有七个仍然未达到保护其存储和维护的敏感数据所需的基本网络安全标准。

该报告由美国参议员罗伯·波特曼（俄亥俄州共和党参议员）和加里·彼得斯（密歇根州民主党参议员）牵头撰写，是对波特曼 2019 年关于联邦机构网络安全的两党报告的后续报道，该报告发现，这八个机构均未达到基本的网络安全标准和协议，无法保护美国人的个人身份信息以及该机构网络上的设备和程序。

放大镜下的八个部门分别是国土安全部、国务院、交通部、住房和城市发展部、农业部、卫生与公众服务部、教育部和社会保障管理局。自 2019 年以来，大多数部门只取得了“微小的改进”，只有国土安全部在 2020 年建立了“有效”的网络安全系统。

[相关：拜登政府刚刚公布了阻止下一次殖民管道黑客攻击的计划]

波特曼和彼得斯还提供了网络安全成绩单，该成绩单根据各内阁部门和最大的独立机构的监察长评级对各机构进行了评分，监察长根据最新版《2014 年联邦信息安全现代化法案》判断各机构是否遵守信息安全要求。所有大型联邦机构的平均分数为 C-。没有一家机构获得 A 级。

总体而言，声明指出，各机构“始终未能实施某些关键的网络安全要求，包括敏感数据加密、限制每个用户对执行工作所需的信息和系统的访问、多因素身份验证，或向国会证明系统是安全的”。几乎所有机构都使用过时的系统或应用程序，六个机构未能安装软件补丁和其他安全修复程序。

彼得斯指出，美国救援计划最近投资了超过 10 亿美元来实现联邦 IT 和网络的现代化和保护，但仍有许多工作要做。

[相关：勒索软件攻击如何关闭美国主要燃料管道]

波特曼参议员在一份声明中表示：“从 SolarWinds 到最近针对关键基础设施的勒索软件攻击，网络攻击显然会不断发生，我们自己的联邦机构没有尽一切努力保护美国的数据，这是不可接受的。这份报告表明，我们的联邦机构在解决网络安全漏洞方面一直存在问题，这种问题导致国家安全和敏感个人信息容易受到越来越老练的黑客的窃取和破坏。”

2020 年 12 月的 SolarWinds 攻击使俄罗斯黑客得以渗透到国土安全部、国务院、能源部和财政部等九个联邦机构。一家私营网络安全公司向政府通报了此次攻击，报告指出，迄今为止，政府仍在努力查明哪些信息被窃取。2021 年 4 月也发生了类似事件，当时中国黑客绕过了多个联邦机构当前的网络安全措施。在私营部门方面，一家名为 Colonial Pipeline 的公司运营的关键石油运输系统遭到勒索软件攻击，导致东海岸的燃料供应中断。这次攻击和其他攻击促使拜登政府发布了一份国家安全备忘录，敦促关键基础设施行业与联邦政府合作改善网络安全。

波特曼随后表示，他将提出立法来“解决本报告中提出的建议”。