Tổng công ty BHTG liên bang Hoa Kỳ phải chấn chỉnh vì mất an toàn thông tin

Bản báo cáo trên cũng cho biết, trước đó, một cuộc điều tra nội bộ do FDIC thực hiện đã  xác định Trung Quốc là thủ phạm đã thực hiện các vụ xâm nhập. Song, vụ việc đã bị che giấu do lo ngại ảnh hưởng đến ông Martin Gruenberg – thời điểm đó (năm 2011) đang giữ vị trí Quyền Chủ tịch FDIC, được Tổng thống Obama đề cử vào vị trí Chủ tịch FDIC và chính thức được bổ nhiệm năm 2012. Cựu Giám đốc Công nghệ thông tin (CIO) của FDIC, ông Russ Pittman đã lừa dối các kiểm toán viên công nghệ thông tin, đồng thời yêu cầu nhân viên của mình không được hé răng về các vụ tấn công. Mọi động tĩnh đều không được báo cáo cho Trung tâm Ứng cứu máy tính khẩn cấp Hoa Kỳ (US-CERT) hay bất kỳ cơ quan chức năng nào khác. Ông Martin Gruenberg được cho là không biết và không liên quan tới vụ che giấu.

Nghị sĩ Lamar Smith, Chủ tịch Ủy ban Khoa học, Không gian và Công nghệ - Hạ viện Hoa Kỳ, cho biết:  “Theo báo cáo sơ bộ của Ủy ban, FDIC không hề nỗ lực đảm bảo an ninh mạng. Việc FDIC giấu giếm Quốc hội (về các vụ tấn công mạng) là một sự xúc phạm nghiêm trọng”.

Trong các vụ tấn công, tổng cộng đã có 12 máy tính và 10 máy chủ của FDIC bị hacker xâm nhập, trong đó có máy tính của  cựu Chánh văn phòng, cựu Trưởng phòng Pháp chế và cả cựu Chủ tịch của FDIC, bà Sheila Bair. Một nguồn thân cận với FDIC cho hãng tin Reuters hay, rất có thể hacker đã tấn công với mục đích gián điệp kinh tế.

Các cuộc điều tra về an toàn thông tin đã được khởi động từ tháng 10 năm ngoái, khi nhân viên phòng An ninh thông tin và Bảo mật của FDIC phát hiện dấu hiệu cho thấy đã có một vụ rò rỉ hàng loạt dữ liệu nhạy cảm. Trước khi nghỉ việc, một nhân viên phòng Giám sát rủi ro của FDIC tại Florida đã sao lưu vào USB cá nhân của mình 1.200 tài liệu, trong đó có số an sinh xã hội của người gửi tiền từ dữ liệu của hơn 44.000 cá nhân và gần 31.000 ngân hàng. Dù vụ việc được phát hiện từ tháng 10/2015, mãi tới cuối tháng 3/2016, số dữ liệu này mới được thu hồi hoàn toàn. Cựu nhân viên này tuyên thệ rằng mình không phát tán các thông tin trên, do đó vụ việc tạm thời lắng xuống. Các điều tra sâu hơn phát hiện ra đây không phải là trường hợp rò rỉ thông tin đầu tiên và duy nhất của FDIC, bởi vào tháng 9/2015, một nhân viên bất mãn của văn phòng FDIC tại New Yorks rời nhiệm sở với USB chứa số an sinh xã hội của hơn 30 000 người. Giám đốc Công nghệ thông tin của FDIC, ông Lawrence Gross ra tay che giấu vụ bê bối này.

Tới tháng 2/2016, một vụ rò rỉ tương tự tiếp diễn tại văn phòng FDIC Texas khi nhân viên FDIC sao lưu 44.000 bản ghi dữ liệu trước khi nghỉ việc, dù hành vi này sau đó được cho là “vô tình và không có mục đích xấu”. Tháng 5 vừa qua, FDIC chính thức báo cáo với Ủy ban Khoa học, Không gian và Công nghệ - Hạ viện Hoa Kỳ về năm vụ vi phạm quy định an toàn thông tin. Tổng cộng, dữ liệu cá nhân của hơn 160.000 người đã bị rò rỉ, cùng với đó, các bản kế hoạch dự phòng xử lý đổ vỡ (Bản di nguyện – living wills) của các ngân hàng có tầm ảnh hưởng hệ thống tại Hoa Kỳ cũng bị lộ. Báo cáo điều tra của Ủy ban Khoa học, Không gian và Công nghệ - Hạ Viện cáo buộc Giám đốc CNTT FDIC Lawrence Gross đã tạo ra một môi trường làm việc độc hại đối với các nhân viên của mình, hủy hoại những nỗ lực cải thiện nền tảng an ninh của cơ quan. Gần 50% nhân viên FDIC có khả năng tiếp cận, copy dữ liệu nhạy cảm vào USB hay thiết bị lưu trữ di động khác. Điều duy nhất ngăn ngừa các cựu nhân viên FDIC phát tán các thông tin nhạy cảm này chỉ là một Bản cam kết. Ông Lawrence Gross cũng là người đưa ra sáng kiến dẫn tới việc trang bị 3000 laptop cho nhân viên FDIC, do ông này cho rằng laptop an toàn hơn so với máy tính bàn. 

Báo cáo được đưa ra trong bối cảnh đang có lo ngại ngày càng tăng về những lỗ hổng trong các hệ thống ngân hàng quốc tế. Các vụ tấn công mạng vào FDIC là trường hợp mới nhất Trung Quốc bị Washington cáo buộc có hành vi xâm nhập các máy tính chính phủ Mỹ. Tuy nhiên, bản báo cáo đã không cung cấp bằng chứng cụ thể rằng Trung Quốc đứng đằng sau vụ xâm nhập này. Các vụ rò rỉ dữ liệu cũng làm dấy lên quan ngại về an toàn thông tin, khiến Văn phòng Kiểm định thuộc Chính phủ Hoa Kỳ cũng phải lên tiếng.

Phát biểu trong phiên điều trần tại Hạ Viện Hoa Kỳ hôm 14/7, Chủ tịch FDIC Martin Gruenberg khẳng định FDIC đang nghiêm túc thực hiện việc khắc phục hậu quả và đề phòng các rủi ro nội bộ tương tự. Trước ngày 28/10/2016, nhóm cán bộ cấp cao của FDIC sẽ hoàn thiện cơ chế chính sách mới để đảm bảo an toàn, an ninh thông tin.