Adalet Bakanlığı Müfettişlik Ofisi’nin (OIG) yaptığı bir denetimde, FBI’ın hassas ve gizli bilgileri içeren elektronik depolama ortamlarının envanter yönetimi ve imhasında “önemli zayıflıklar” tespit edildi.
Raporda, cihazlardan çıkarılan depolama ortamlarının izlenmesine ilişkin politikalar, prosedürler veya kontrollerle ilgili çok sayıda sorun ve ortam imha sürecinde önemli fiziksel güvenlik açıkları vurgulanıyor.
FBI bu sorunları kabul etti ve OIG’nin önerileri doğrultusunda düzeltici eylemler uygulama sürecinde.
OIG’nin bulguları
OIG’nin denetimi, FBI’ın hassas ancak sınıflandırılmamış (SBU) ve sınıflandırılmış ulusal güvenlik bilgilerini (NSI) içeren elektronik depolama ortamlarına ilişkin envanter yönetimi ve imha prosedürlerinde çeşitli zayıflıkları ortaya koyuyor.
Üç temel bulguyu şu şekilde özetlemek mümkündür:
- FBI, daha büyük cihazlardan çıkarıldıktan sonra dahili sabit diskler ve USB bellekler gibi elektronik depolama ortamlarını yeterli şekilde takip etmiyor veya hesaba katmıyor, bu da bu ortamların kaybolma veya çalınma riskini artırıyor.
- FBI, elektronik depolama ortamlarını uygun sınıflandırma düzeyleriyle (örneğin Gizli, Çok Gizli) tutarlı bir şekilde etiketlemekte başarısız oluyor; bu da hassas bilgilerin kötüye kullanılmasına veya yetkisiz erişime yol açabiliyor.
- OIG ayrıca medya imhasının gerçekleştiği FBI tesisinde yetersiz fiziksel güvenlik gözlemledi. Bunlara yetersiz dahili erişim kontrolleri, imha edilmeyi bekleyen medyanın güvenli olmayan şekilde depolanması ve çalışmayan gözetleme kameraları dahildir ve bunların hepsi gizli bilgilerin tehlikeye atılma riskini artırır.
Kaynak: OIG
Öneriler ve FBI’ın yanıtı
OIG, FBI’a tespit edilen sorunların çözümü için üç özel tavsiyede bulundu.
- Bilgisayarlardan çıkarılan sabit diskler de dahil olmak üzere hassas veya gizli bilgileri içeren tüm elektronik depolama ortamlarının uygun şekilde muhasebeleştirilmesini, izlenmesini, zamanında temizlenmesini ve imha edilmesini sağlamak için prosedürleri gözden geçirin.
- Uygulanabilir politikalar ve yönergeler uyarınca elektronik depolama ortamlarının uygun NSI sınıflandırma düzeyi işaretleriyle işaretlenmesini sağlamak için kontroller uygulayın.
- Tesisteki elektronik depolama ortamlarının kaybolmasını veya çalınmasını önlemek için fiziksel güvenlik kontrollerini ve uygulamalarını güçlendirmek.
FBI, denetim bulgularını kabul etti ve “Sınıflandırılmış ve Hassas Elektronik Cihazların Fiziksel Kontrolü ve İmhası ve Malzeme Politikası Direktifi” başlıklı yeni bir direktif geliştirme sürecinde olduğunu belirtti.
Yeni politikanın, depolama ortamı izleme ve sınıflandırma işaretlemelerinde tespit edilen sorunları çözmesi bekleniyor.
Kaynak: OIG
FBI ayrıca, video gözetimi kapsamında olacak medya için depolama noktası olarak kullanılacak koruyucu “kafesler” kurma sürecinde olduğunu söyledi.
OIG, FBI’ın düzeltici eylemlerin uygulanmasına ilişkin durumu 90 gün içinde kendisine bildirmesini bekliyor.