审计显示，FBI 未能确保销毁敏感存储介质的安全

美国司法部监察长办公室（OIG）发布的新报告显示，联邦调查局未能正确标记、存储和保护包含敏感信息的退役电子存储介质。

在一次合同审计中，督察长办公室发现，在联邦调查局控制的销毁媒体的设施中，这些物品的物理安全存在弱点，例如这些设备长期存放在托盘上，但没有得到适当的保护。

OIG 报告显示， 这些设备（包括内置硬盘和拇指驱动器）包含敏感但未分类的执法信息和机密的国家安全信息（NSI） 。

尽管如此，FBI 也无法保证这些设备的下落。内部硬盘，即使是从绝密计算机中移除的硬盘，也无法得到妥善追踪，该机构无法确认这些硬盘是否已被妥善销毁。

督察长办公室指出：“我们认为，FBI 不对提取的内部硬盘、拇指驱动器和其他媒体设备进行说明的做法，不符合 FBI 或司法部确保对包含敏感或机密信息的媒体进行问责的政策。”

报告称，虽然计算机和服务器都有适当的分类标签，但从中取出的内部电子存储介质上却没有标注，小型闪存盘也没有标签，无法识别其分类。

监察长办公室表示：“在提取内部电子媒体进行处置时，这些内部媒体将成为独立资产，没有任何标签来识别其所包含或处理的信息的机密级别。”

审计还发现，在计划销毁的设施中，被提取出来的标记为不可追溯的内部硬盘被存放在一个包装破损的托盘上近两年，因此截至 2024 年 5 月，近 400 名有权进入该设施的个人都接触到了这些硬盘。

督察长办公室表示：“该设施与 FBI 的其他业务部门共享，例如物流、邮件和信息技术设备配送。根据 FBI 于 2024 年 5 月提供的访问列表，共有 395 人可以访问该设施，其中包括 28 名特别工作组官员和来自至少 17 家公司的 63 名承包商。”

报道还显示，联邦调查局主管和承包商证实，由于这些设备没有被记录或追踪，他们不知道是否会有硬盘从托盘上被拿走。

督察长办公室建议联邦调查局修改其程序，确保计划销毁的存储介质设备得到适当的核算、跟踪、清理和销毁，实施控制措施确保电子存储介质贴上适当的分类标签，并提高销毁设施中这些设备的物理安全性，防止其丢失或被盗。

督察长办公室指出：“由于缺乏对 FBI 电子存储介质库存的控制，FBI 的拇指驱动器、磁盘驱动器、硬盘驱动器或固态驱动器在从笔记本电脑或服务器等大型电子元件中取出后丢失或被盗的风险增加了。”

原文始发于微信公众号（河南等级保护测评）：审计显示，FBI 未能确保销毁敏感存储介质的安全