A Alfândega e a Proteção de Fronteiras dos EUA não protegeram os dados
Uma revisão de um esquema piloto de tecnologia de reconhecimento facial conduzido pela Alfândega e Proteção de Fronteiras dos EUA (CBP) descobriu que dados biométricos confidenciais não estavam protegidos de forma adequada.
O Vehicle Face System foi testado no ano passado pela CBP. Um grande incidente de cibersegurança ocorreu quando a subcontratada Perceptics, contratada para trabalhar no piloto, transferiu cópias dos dados biométricos da CBP para a rede de sua própria empresa.
A subcontratada obteve acesso a esses dados entre agosto de 2018 e janeiro de 2019 sem autorização ou conhecimento da CBP. Mais tarde, em 2019, o Departamento de Segurança Interna passou por um grande incidente de privacidade, pois a rede do subcontratado foi submetida a um ataque cibernético malicioso.
Posteriormente, os dados do CBP, incluindo imagens de viajantes do piloto de reconhecimento facial do CBP, apareceram na dark web, desencadeando uma revisão pelo Escritório do Inspetor-Geral (OIG).
A violação de dados comprometeu aproximadamente 184.000 imagens de viajantes do piloto de reconhecimento facial da CBP. Mais tarde, pelo menos 19 das imagens foram postadas na dark web.
Na revisão , publicada em 21 de setembro, o OIG concluiu que “o CBP não protegeu adequadamente os dados confidenciais em um dispositivo não criptografado usado durante seu piloto de tecnologia de reconhecimento facial”.
O OIG também descobriu que a equipe da Perceptics “violou diretamente os protocolos de segurança e privacidade do DHS quando baixou PIIs confidenciais do CBP de um dispositivo não criptografado e os armazenou em sua própria rede”.
As ações da Perceptics foram contra uma estipulação do Departamento de Segurança Interna que exige que os subcontratados protejam as informações de identificação pessoal (PII) contra roubo ou uso indevido de identidade.
O EIG fez uma série de recomendações ao CBP que incluíram a implementação de restrições de dispositivos USB, aplicação de métodos de criptografia aprimorados e avaliação rotineira de equipamentos de terceiros que apoiam a coleta de dados biométricos para garantir a conformidade dos parceiros com os padrões de segurança e privacidade do Departamento.
O Congresso usou a Lei de Dotações Consolidadas do ano fiscal de 2016 para fornecer à CBP até US $ 1 bilhão em financiamento ao longo de um período de 10 anos para desenvolver uma solução biométrica de entrada e saída que monitorará os viajantes de e para os Estados Unidos.
Até o momento, o Escritório do Programa de Entrada-Saída Biométrica da CBP tem se concentrado principalmente em partidas aéreas, começando com um programa piloto em nove aeroportos em todo o país em 2017.
Em abril de 2019, a CBP processou 19.829 voos e 2,8 milhões de passageiros em 19 aeroportos por meio de seu programa biométrico.
Fonte: https://www.infosecurity-magazine.com/news/cbp-failed-to-safeguard-biometric/