Department of Homeland Security kører hundredevis af følsomme og tophemmelige databaser uden den rette tilladelse, hvilket lader agenturet være usikker på, om det kan "beskytte følsomme oplysninger" mod cyberangreb.
An revision offentliggjort torsdag af inspektøren generelt fandt flere svaghedsområder inden for agenturets informationssikkerhedsprogrammer.
Specifikt betjener afdelingen 136 "følsomme, men uklassificerede," "Hemmelige" og "Top Secret" -systemer med "udløbne myndigheder til at fungere."
"Fra juni 2015 havde DHS 17-systemer, der blev klassificeret som 'hemmeligt' eller 'tophemmeligt', uden [myndigheder til at betjene] ATO'er," sagde inspektøren. "Uden ATO'er kan DHS ikke sikre, at dens systemer er ordentligt sikret for at beskytte følsomme oplysninger, der er gemt og behandlet i dem."
Kystvakten med 26 førte agenturer, der driver usikrede databaser, efterfulgt af Federal Emergency Management Agency med 25, og told- og grænsebeskyttelse med 14.
Department of Homeland Security-hovedkvarteret driver 11, og Transportation Security Administration kører 10-følsomme eller hemmelige systemer med udløbne tilladelser.
Undersøgelsen fandt også, at der manglede sikkerhedsrettelser til computere, internetbrowsere og databaser, og svage adgangskoder efterlod agenturets informationssikkerhed sårbar.
”Vi fandt yderligere sårbarheder vedrørende Adobe Acrobat, Adobe Reader og Oracle Java-software på Windows 7-arbejdsstationer,” sagde inspektørgeneral. "Hvis de udnyttes, kan disse sårbarheder give uautoriseret adgang til DHS-data."
Gennemgangen, der blev mandat af den føderale lov om modernisering af informationssikkerhed, 2014, fandt, at interne websteder også var modtagelige for "clickjacking" -angreb og "sårbarheder på tværs af websteder og tværs rammer."
"Sårbarheder på tværs af websteder og tværs rammer for scripting tillader angribere at injicere ondsindet kode på ellers godartede websteder," sagde inspektøren. "Et clickjacking-angreb bedrager et offer til at interagere med specifikke elementer på et målwebsted uden brugerkendskab og udføre privilegeret funktionalitet på offerets vegne."