Программа кибербезопасности CFPB 'больше не эффективна:' говорит OIG 0 15 просмотров Что на кону: CFPB использует устаревшее программное обеспечение и не имеет стратегии по реагированию на кибербезопасностные риски, как установлено в отчете. Подтверждающие данные: Программа информационной безопасности CFPB испытала быстрое снижение эффективности с уровня-4 в финансовом году 2024 года до уровня-2 в финансовом году 2025 года. Прогноз на будущее: Несмотря на критическую оценку OIG, главный информационный офицер CFPB заявил, что ведомство поддерживает 'устойчивую кибербезопасность'. По данным правительственного наблюдателя агентства, Консьюмер Файненшл Протекшн Бюро больше не имеет эффективной программы кибербезопасности, что было обнаружено во время администрации Трампа. В высококритическом отчете, опубликованном в понедельник, Инспекция Федерального резерва сообщила, что у CFPB нет стратегии реагирования на кибербезопасностные риски и не способно поддерживать 'эффективный уровень осведомленности' о своих уязвимостях безопасности. С тех пор как администрация Трампа взяла под контроль агентство в феврале, CFPB прекратило сотрудничество с подрядчиками, обслуживающими его системы, и потеряло многих сотрудников, включая Марианн Рот, бывшего главного офицера по управлению рисками агентства. Общий уровень информационной безопасности CFPB снизился с уровня-4 в финансовом году 2024 года до уровня-2 в финансовом году 2025 года, при этом уровень-5 является наивысшей оценкой, гласит отчет. 'Общая программа информационной безопасности CFPB не эффективна', — заявила OIG в 32-страничном отчете. 'В этом году мы обнаружили, что программа [управления рисками предприятия] CFPB была приостановлена, поскольку главный офицер по рискам агентства и другие лица в офисе ERM покинули агентство в марте 2025 года. Эти должности не были замещены, и их роли и обязанности не выполняются в полном объеме'. Офис Федерального резерва, внештатное агентство, опубликовал отчет как часть ежегодного аудита 2025 года программы информационной безопасности CFPB. OIG отметила использование устаревшего программного обеспечения и то, что поставщики больше не предоставляют обновления безопасности и патчи для информационных систем CFPB. Одной из ключевых причин является то, что агентство испытывает задержки в модернизации и выводе из эксплуатации устаревших приложений. Натан Тейлор, партнер Morrison & Foerster LLP и эксперт по конфиденциальности и защите данных, сказал, что отчет вызывает беспокойство. 'Учитывая чувствительность и объем потребительских и институциональных данных, обрабатываемых CFPB, аудиторские выводы OIG вызывают беспокойство', — сказал Тейлор. 'Факт того, что во мнении OIG, программа информационной безопасности и зрелость CFPB сделали несколько шагов назад, вызывает беспокойство'. CFPB надзирает за рынками потребительского долга на сумму $18 трлн. У него много данных по всем ключевым рынкам потребительских финансов: ипотеки, студенческие кредиты, кредитные карты и автокредиты, включая системы, в которых хранится лично идентифицируемая информация, такая как номера социального страхования. Он поддерживает системы для сбора, исследования и реагирования на жалобы потребителей. Он также осуществляет надзор и хранит конфиденциальную супервизорскую информацию о банках и небанковских организациях. 'Мы считаем, что CFPB должно продолжать обеспечивать достаточную безопасность для этих данных и систем', — сказала OIG. Кристофер Чильберт, главный информационный офицер CFPB, высказал противодействие отчету OIG, однако согласился со всеми рекомендациями OIG. В письме Халиду Хасану, помощнику генерального инспектора по информационным технологиям, Чильберт возразил, что у CFPB 'устойчивая кибербезопасность', и указал на то, что в 2025 году у CFPB не было крупных инцидентов информационной безопасности или утечек лично идентифицируемой информации. Чильберт также заявил, что многие из выявленных OIG проблем 'низкого риска' и не содержат данных агентства. 'Многие из них представляют собой нематериальные проблемы и обновления документации с незначительным практическим влиянием на кибербезопасность агентства', — написал Чильберт.Напоминая о том, что нарушения кибербезопасности не ограничиваются частными фирмами, ассоциации банков предупредили министра финансов Скотта Бессента в июне о слабостях в безопасности федеральных регуляторных органов. Группы, возглавляемые Американской ассоциацией банкиров и Институтом банковской политики, выразили обеспокоенность тем, что регуляторы все чаще становятся целями постоянных и сложных атак, которые могут нарушить финансовые рынки. CFPB исторически использовал подрядчиков для поддержки своей программы информационной безопасности. Но в начале 2025 года агентство внесло изменения, согласно отчету OIG, и начало получать услуги по безопасности информационных технологий и соблюдения через Бюро финансовых служб. Кроме того, OIG обнаружила, что CFPB продолжает использовать 'программное обеспечение конца жизни', что, по ее словам, увеличивает риск обхода защитных мер безопасности. CFPB находится в процессе модернизации и вывода из эксплуатации устаревших систем, но, как гласит отчет, имеет задержки в этом. 'Хотя у CFPB есть стратегия для выявления, оценки и управления рисками на уровне системы, у него нет стратегии, направляющей и информирующей, как кибербезопасность и риски конфиденциальности формулируются, оцениваются, реагируются и контролируются на организационном уровне', — гласит отчет. Светлой стороной является то, что, по мнению OIG, с момента последнего аудита CFPB предпринял шаги по укреплению информационной безопасности. Он усилил свои процессы реагирования на инциденты для решения потенциальных инцидентов вымогательства. И продолжает управлять рисками кибербезопасности, а также находится в процессе вывода из эксплуатации и модернизации устаревших технологических систем. Комментарии Source: https://lenta.profinansy.ru/news/4580066