所有FDIC员工未授权的多因素身份验证:OIG

现在注册

WASHINGTON — The Federal Deposit Insurance Corp. does not require all its administrative users to log into its systems using multifactor authentication, according to an audit released Friday by the agency'审查员办公室。

根据这一点 报告,由会计公司棉花制作&Co.,外部信息技术提供商未明确要求用户以单独的证据核实他们的身份 - 大多数信用卡所需的基线网络安全标准等。

结果,IT提供商之外的那些“一般不需要[Multifactor认证]进行特权用户访问,”报告称,引用了FDIC官方。

FDIC发言人Barbara Hagenbaugh表示,管理用户通常不会使用外包提供商来访问FDIC系统。

审计还表示解释原子能机构的IT承包商的多因素认证“可能或可能不使用”的原因,而不是“不容易获得”。

报告中引用的FDIC官员称,要求所有的IT承包商实施多因素认证“构成了实际挑战”。

“例如,”官方说,“供应商可能使用各种[多因素认证]解决方案,即FDIC需要使用和评估。”

FDIC确实要求其IT承包商签署安全条款,以确保原子能机构的数据“充分保护免于损失,滥用和未经授权的访问或修改”,以便根据该报告。

但根据报告,条款不指定IT承包商必须在FDIC处理中使用多因素身份验证或其他网络安全工具,例如下载跟踪软件和网络取证。

审计发现,信息不是“易于提供FDIC外包提供商使用此类能力的程度”。

该报告还概述了FDIC正在进行FDIC以修改其网络安全控制的步骤。该机构去年决定允许非处方者用户使用令牌访问网络,这是每个登录的验证代码。

但FDIC决定迈向个人身份验证卡 - 以强制安全标准支持的联邦员工智能卡。

该报告称,在2017年之前要求从其系统所有用户的个人身份证的FDIC计划到2017年。

最近几个月,FDIC一直是国会调查的主题,进入几个网络安全违规行为,这些违约者通过离开雇员涉及敏感数据的盗窃。

周一,该机构发布了一系列新的一系列新的网络安全措施,并承诺“保持警惕,并根据变化的威胁景观调整[其]安全控制。”

用于本文的重印和许可请求, 点击这里.
法律和监管
更多来自美国银行家