L'FBI ha gravi carenze nella gestione dei dispositivi di archiviazione contenenti dati sensibili, secondo un audit del Dipartimento di Giustizia. L'indagine ha rivelato che hard disk e chiavette USB con informazioni riservate vengono conservati in modo non sicuro prima della distruzione.
Il rapporto dell'Ispettorato Generale evidenzia problemi critici nelle procedure dell'FBI per il tracciamento e la protezione dei dispositivi elettronici dismessi. Molti di questi contengono dati sensibili non classificati o informazioni classificate sulla sicurezza nazionale, ma vengono lasciati incustoditi su pallet per lunghi periodi in una struttura dell'FBI, prima di essere distrutti.
L'audit ha riscontrato gravi carenze nella gestione dell'inventario e nelle procedure di smaltimento. In particolare, l'FBI fatica a tenere traccia degli hard disk interni, compresi quelli rimossi da computer Top Secret, e non sempre riesce a verificarne la distruzione. Le pratiche attuali includono politiche e controlli inadeguati per la contabilizzazione dei dispositivi di archiviazione.
Inoltre, i dispositivi non vengono sempre etichettati con l'appropriato livello di classificazione o sensibilità, complicando il processo di smaltimento sicuro. L'audit sottolinea anche la necessità di migliorare le misure di sicurezza fisica nella struttura dove avviene la distruzione di questi dispositivi.
L'Ispettorato Generale ha formulato diverse raccomandazioni per affrontare le criticità identificate:
- Sviluppare e implementare politiche più robuste per la gestione dell'inventario;
- Garantire che tutti i dispositivi di archiviazione siano etichettati correttamente in base alla loro sensibilità;
- Potenziare le misure di sicurezza fisica nella struttura di distruzione.
L'Asset Management Unit (AMU) dell'FBI, che supervisiona il trattamento, la sanitizzazione e lo smaltimento dei supporti elettronici, è al centro di questo problema. A giugno 2024, l'AMU gestisce dispositivi provenienti da varie sedi dell'FBI in tutti gli Stati Uniti e Porto Rico.
Il processo dell'AMU prevede diverse fasi:
- Raccolta dei dispositivi presso il quartier generale dell'FBI o la struttura di distruzione;
- Stoccaggio in scatole di dimensioni pallet in attesa del trattamento;
- Prioritizzazione della distruzione di dispositivi ad alto valore, come quelli con informazioni Top Secret;
- Applicazione del metodo "primo arrivato, primo servito" per gli altri elementi.
Nonostante queste procedure, l'audit rivela problemi significativi. I supporti elettronici, inclusi computer desktop, laptop e altri dispositivi, a volte non vengono gestiti tempestivamente. Gli hard disk estratti vengono addirittura gestiti per ultimi. Inoltre, il processo di sanitizzazione, che include smagnetizzazione, triturazione e disintegrazione, non sempre viene eseguito con il necessario livello di sicurezza.
Le carenze riscontrate nell'etichettatura e nel tracciamento dei dispositivi di archiviazione sensibili aumentano i rischi associati alla loro distruzione. L'FBI dovrà intervenire prontamente per rafforzare le proprie procedure e garantire la massima protezione delle informazioni riservate contenute nei dispositivi dismessi.