De Amerikaanse National Cyber Security Division (NCSD), de waakhond van de internetveiligheid in de VS, heeft zelf een slecht veiligheidsbeleid. Dat blijkt uit een onderzoek van het Amerikaanse ministerie van Homeland Security, waar de NCSD onder valt.

Hoog risico

Uit het onderzoek blijkt onder meer dat de organisatie haar medewerkers slecht voorlicht over veiligheidsproblemen en dat die daarvoor geen adequate training zouden krijgen. Ook zouden er geen consequente veiligheidsprocedures zijn en zou de NSCD een slecht patchbeleid hebben.

Er zitten bovendien veel gaten in het ‘mission operating environment’, dat medewerkers van de NSCD en US-CERT gebruiken om aanvallen, bugs en andere problemen op te sporen op voor de overheid kritieke systemen. Volgens het dossier zijn er op dat systeem maar liefst 202 ongepatchte kwetsbaarheden met een hoog risico aanwezig.

Training

Om de problemen op te lossen raadt het ministerie de NSCD aan om een trainingsprogramma voor ambtenaren in te stellen, procedures te schrijven over het installeren en managen van patches en om regelmatig rapport uit te brengen over onveilige systemen. Het document van het ministerie meldt overigens ook dat de toegang tot de systemen zowel fysiek als digitaal wel goed beveiligd is.