Hoy marca la conclusión de una saga de años que comenzó cuando John Oliver hizo un segmento sobre Neutralidad de la Red que fue tan popular que puso de rodillas el sistema de comentarios de la FCC. Dos años después, finalmente está cerca de abordar todas las cuestiones planteadas en una investigación de la Oficina de Responsabilidad General.
El informe cubre numerosos problemas de ciberseguridad y TI, algunos de los cuales la FCC abordó rápidamente, otros no tan rápido y otros todavía están trabajando.
“El informe de la GAO de hoy deja en claro lo que sabíamos desde el principio: el sistema de la FCC para recopilar comentarios del público tiene problemas”, dijo la comisionada Jessica Rosenworcel a TechCrunch. “La agencia necesita arreglar completamente este lío porque esta es la forma en que se supone que la FCC debe recibir comentarios del público. Pero, como demuestra este informe, tenemos mucho trabajo por hacer “.
Aquí está la línea de tiempo básica de los eventos, que parecen tan lejanos ahora:
Luego ha estado bastante tranquilo básicamente hasta hoy, cuando se publicó públicamente el informe solicitado en 2017. Una versión con información confidencial (como configuraciones de software exactas y otra información técnica) se distribuyó internamente en septiembre y luego se revisó para la versión de hoy.
El informe final no es una gran bomba, ya que gran parte del mismo ha sido telegrafiado con anticipación. Es una colección de críticas a un sistema obsoleto con seguridad inadecuada y otras fallas que podrían haber sido dirigidas a prácticamente cualquier agencia federal, entre las cuales las prácticas de ciberseguridad son notoriamente deficientes.
La investigación del gobierno encuentra que las agencias federales fallan en los conceptos básicos de ciberseguridad
La investigación indica que la FCC, por ejemplo, no implementó sistemáticamente controles de seguridad y acceso, no cifró datos sensibles, actualizó o configuró correctamente sus servidores, detectó o registró eventos de ciberseguridad, etc. No siempre fue un desastre (incluso los departamentos de TI bien administrados no siempre siguen las mejores prácticas), pero obviamente algunas de estas deficiencias y atajos llevaron a problemas serios como ECFS abrumado.
Más importante aún, de las 136 recomendaciones hechas en el informe de septiembre, 85 se han implementado en su totalidad ahora, 10 parcialmente, y el resto están en camino de serlo.
Eso no debe interpretarse en el sentido de que la FCC ha esperado todo este tiempo para actualizar sus sistemas de comentarios y otros. De hecho, estaba haciendo mejoras casi inmediatamente después del evento en mayo de 2017, pero se negó a describirlas. Estas son algunas de las mejoras enumeradas en el informe GAO:
El representante Frank Pallone (D-NJ), quien ha perseguido a la FCC en este tema desde el principio, emitió la siguiente declaración:
Solicité este informe porque estaba claro, después de la debacle del período de comentarios sobre la derogación de la neutralidad de la red, que las prácticas de ciberseguridad de la FCC habían fracasado. Después de más de dos años de investigación, GAO está de acuerdo y encontró una inquietante falta de seguridad que pone en riesgo los sistemas de información de la Comisión… Hasta que la FCC implemente todas las recomendaciones restantes, sus sistemas seguirán siendo vulnerables a fallas y mal uso.
Puede leer el informe final de la GAO aquí.
Comisión imposible: cómo y por qué la FCC creó la neutralidad de la red
