Johtuen sisäpiiritapauksesta, jossa Booz Allen Hamiltonin entinen työntekijä julkisti 406 000 henkilön yksityiset tiedot, Yhdysvaltain valtiovarainministeriö on irtisanonut kaikki sopimukset Booz Allen Hamiltonin kanssa.
Tähän yhdistettiin paine kyberturvallisuuden parantamiseksiliittovaltion urakoitsijoillesen jälkeen, kun entinen urakoitsija myönsi syyllisyytensä liittovaltion verohallinnon tietueiden laittomaan käyttöön ja jakamiseen.
Valtiovarainministeriö katkaisee tulpan kaikista alkoholijuomien allen-sopimuksista
Valtiovarainministeri Scott Bessent vahvisti 26. tammikuuta kirjallisesti, että valtiovarainministeriö oli välittömästi irtisanonut kaikki 31 voimassa olevaa sopimusta Booz Allenin kanssa ja toimittanut ehdollisen kirjeen hallituksen sopimussuhteen Booz Allenin kanssa irtisanomisesta.
Sihteeri totesi myös, että valtiovarainministeriö jatkaa yhteistyötä Booz Allenin kanssa kehittääkseen suunnitelman hallituksen ja Booz Allenin välistä tulevaa sopimussuhdetta varten ja parantaakseen viraston valvontaa, joka koskee liittovaltion urakoitsijoiden pääsyä luottamuksellisiin tietoihin.
Valtiovarainministeriö irtisanoi Booz Allenin, koska se ei ollut ottanut käyttöön riittäviä turvatoimia valtion järjestelmille.
Valtiovarainministeriön virkamiesten mukaan sopimusten vuotuiset menot olivat 4,8 miljoonaa dollaria ja sitoumukset yhteensä 2,1 miljoonaa dollaria.
Bessent sanoi, että liittovaltion on suojeltava veronmaksajien tietoja, ja urakoitsijoiden, joilla on pääsy arkaluonteisiin järjestelmiin, on noudatettava tiukkoja turvallisuus- ja noudattamisstandardeja.
Hän huomautti myös, että tämä aloite on yhdenmukainen presidentti Trumpin tavoitteen kanssa eliminoida haaskaus, petokset ja väärinkäytökset liittovaltion virastoissa.
Valtiovarainviranomaiset selittivät, että he ryhtyivät tähän toimenpiteeseen palauttaakseen yleisön luottamuksen hallituksen kykyyn suojata yksityisiä tietoja useiden vakavien kyberloukkausten jälkeen sekä julkisella että yksityisellä sektorilla.
Sisäpiiririkkomus paljasti satoja tuhansia veronmaksajia
Charles Edward Littlejohnin (yhtiön entinen urakoitsija) tapauksessa Booz Allenin kautta saatujen tietojen luvaton käyttö, jossa hän myönsi syyllisyytensä rikossyytteisiin IRS-järjestelmien laittomasta käytöstä vuosina 2018–2020.
Littlejohnin toimet olivat keskeinen osa Booz Alleniin liittyvien väärinkäytösten syytöksiä.
Liittovaltion syyttäjät väittivät, että Littlejohn oli päässyt laittomasti satoihin tuhansiin tietueisiin ja veronmaksajien yksityisiin tietoihin käyttämällä urakoitsijan valtuuksia. 406 000 laskettavaa tietuetta sisälsi henkilötietoja ja verotietoja.
Viime kädessä näiden tietojen julkistamisen myötä uhrit joutuivat identiteettivarkauden, talouspetosten ja pitkäaikaisten yksityisyysongelmien uhreiksi. Verohallinto kärsi yhden suurimmista viimeaikaisista tappioistaan sisäpiiriläisen varastaneen Booz Allenin ja Hamiltonin tiedot.
Valtiovarainministeriön virkamiehet totesivat, että Booz Allen ei valvonut riittävästi ja valvonut sitä, mikä vaikutti siihen, että tätä varkautta ei kyetty havaitsemaan ja estämään ennen sen tapahtumista.
Hallitus vaatii tiukempia suorituskykystandardeja liittovaltion urakoitsijoille
Valtiovarainministeriön virkamiehet totesivat, että nämä peruutetut sopimukset ovat osoitus hallituksen laajemmista ponnisteluista lisätä arkaluonteisia tietoja hallussaan pitävien liittovaltion urakoitsijoiden seurantaa ja valvontaa.
Hallitus on yhä enemmän riippuvainen yksityisistä yrityksistä, jotka tarjoavat palveluja esimerkiksi kyberturvallisuuden, analytiikan ja tiedonhallinnan aloilla, minkä vuoksi on olennaista, että ne luottavat alihankkijoihinsa, pitävät heidät vastuullisina ja että ne toimivat korkeimpien tietoturvastandardien mukaisesti.
Valtiovarainministeriön tiedottajan mukaan hallitus ei suvaitse alihankkijoita, jotka tarjoavat heikkoa tietoturvaa.
Kaikkien heidän kanssaan liiketoimintaa tekevien urakoitsijoiden on alistuttava tiukkaan tietoturvamenettelynsä tarkastuksiin, otettava käyttöön järjestelmät sisäpiiriuhkien tarkkailemiseksi ja valvottava järjestelmiään reaaliajassa.
Tämä tukahduttaminen on sopusoinnussa maailmanlaajuisen siirtymisen kanssa tiukempaan tiedonhallintaan ja heijastelee muiden maiden lainsäädäntötoimia, kuten esim.Kanadan odotetut muutokset yksityisyyslakeihinsaei liian kauan sitten.
Kasvava tilitys sisäpiirin uhista
Booz Allen -loukkaus on tärkeä esimerkki nousevasta globaalista ongelmasta, joka liittyy hallituksen tietoihin kohdistuviin sisäpiirin uhkiin.
Viimeaikaiset tiedotusvälineet kyberhyökkäyksistä käsittelevät pääasiassa ulkoisia uhkia. Yksi vaikeimmista uhista on kuitenkin sisäisten järjestelmien käyttäjiltä (sisäpiiriuhka), joilla on laillinen pääsy tietokonejärjestelmiin.
Tietoriskin laajuus ulottuu työntekijöiden varkauksien lisäksi myös yritystietojen myymiseen viranomaisille, kutenviimeaikaiset raportit Coinbasesta ja ICE:stä.
Hallituksen organisaatiot jatkavat siirtymistä kohti digitaalisia muutoksia ja pilviteknologian käyttöönottoa. Kun yhä useammat yritykset pääsevät käsiksi arkaluonteisiin tietoihin ilman asianmukaista valvontaa ja auditointia, työntekijä voi vaarantaa satoja tuhansia tiedostoja muutamassa minuutissa.
Monille valtiovarainministeriön virkamiehille sopimusten purkaminen on sekä kurinpitotoimi että uusi halu rakentaa uudelleen yleisön luottamus digitaaliseen turvallisuuteen aikana, jolloin yleisön luottamus tietoliikenteen turvallisuuteen on alimmillaan.
"Tärkeää tässä asiassa ei ole vain tapahtunut rikkomus", sanoi valtiovarainministeriön korkea virkamies. "Se myös vahvistaa käsitystä siitä, että veronmaksajien tiedot ovat etuoikeus; se vaatii korkeinta vastuuta."