GAO 发现的内容为了提高透明度并让公众了解人工智能 (AI) 的使用方式,第 13960 号行政命令要求联邦机构维护人工智能用例清单。美国国土安全部 (DHS) 已经建立了这样的清单,并发布在该部门的网站上。但是,国土安全部的网络安全人工智能系统清单并不准确。具体来说,清单确定了两个人工智能网络安全用例,但官员告诉我们,其中一个被错误地定性为人工智能。尽管国土安全部在将用例添加到人工智能清单之前有一个审查用例的流程,但该机构承认,它并不能确认用例是否被正确地定性为人工智能。在扩大流程以纳入此类决定之前,国土安全部将无法确保准确的用例报告。国土安全部已经实施了 GAO 人工智能问责框架中的部分
GAO 的发现 GAO 发现,确定联邦研发 (R&D) 资金是否提供给了受关注的外国实体是一项挑战。此类实体包括外国恐怖组织和特别指定的国民等。授予机构一般禁止与外国恐怖组织和特别指定的国民开展业务。GAO 发现,报告其中一些实体的政府数据库缺乏通用识别信息,例如唯一标识符或个人身份信息。例如,据美国财政部称,外国恐怖组织名单上的实体的实际地址、出生日期或其他识别信息通常无法获得,因为实体经常试图隐藏其身份或位置。当出生日期等个人身份信息可用时,公共联邦资助数据源 USAspending.gov 中则无法提供类似信息。具体来说,尽管奖励机构收集其他识别信息,例如寻求奖励的实体的电话号码,但并非
Confidential computing in Microsoft Azure gets a boost
任何使用公共云的企业面临的最大挑战之一是它是公共的。是的,您的应用程序在独立的虚拟机中运行,您的数据位于自己的虚拟存储设备中,但仍然存在数据泄露的风险。在多租户环境中,您无法确定内存是否已安全释放,因此您的数据不会泄漏到您的系统与其他系统之间的边界。这就是为什么企业密切关注其法规遵从性,并经常将敏感数据保存在内部。这使他们能够确信他们正在安全地(或至少是私下)管理个人身份信息以及任何受法规约束的数据。要阅读本文全文,请单击此处
GAO 发现自从 2019 年重新调整其最初的成本和时间表承诺以来,国土安全部 (DHS) 的国土高级识别技术 (HART) 计划进一步推迟了其时间表。具体来说,该计划在 2020 年宣布了第二次违反计划和第一次违反成本规定。因此,国土安全部再次重新调整了该计划的基准。这使得交付初始功能以替换旧系统的时间表比 2019 年计划又延长了 33 个月。此外,2022 年重新基线不包括完成该计划的估计(见表)。 2019 年至 2022 年国土高级识别技术 (HART) 计划时间表的变化 里程碑 计划完成日期 a (截至 2019 年 5 月) 计划完成日期 a (截至 2022 年 5 月) 初始
Critical Assets Highly Exposed in Public Cloud, Mobile, and Web Apps
CyCognito 发布了其半年度外部风险管理状况报告,揭示了大量易受攻击的公共云、移动和 Web 应用程序暴露敏感数据,包括不安全的 API 和个人身份信息 (PII)。该报告由 CyCognito 的研究部门开发,基于对其企业客户群中 350 万资产的分析,其中包括多家财富 500 强公司。
Cybersecurity: VA Needs to Address Privacy and Security Challenges
GAO 的发现联邦法律和政策规定了保护个人身份信息 (PII) 以及确保联邦系统和信息安全的要求。联邦指南还包括建立隐私计划的关键做法。 GAO 在 2022 年报告称,包括退伍军人事务部 (VA) 在内的联邦机构在制定隐私政策和程序以及实施关键做法方面存在差异。虽然 VA 部分解决了隐私实践问题,但差距仍然存在。例如,它没有完全界定隐私官员在对包含 PII 的授权系统执行风险管理步骤时的作用。如果不完全纳入这些做法,VA 将无法保证其持续有效地实施隐私保护。此外,包括 VA 在内的所有 24 个《1990 年首席财务官法案》机构的隐私官员均报告在实施其隐私计划时遇到了挑战。GAO 和 VA
Science & Tech Spotlight: Securing Data for a Post-Quantum World
为什么这很重要虽然量子计算机的出现带来了潜在的好处,但这些计算机可能会破坏当前保护敏感信息的加密方法的安全性。如果不尽快开发和部署能够承受量子计算能力的加密方法,那么安全数据最快在2030年代就可以被解密。这项技术是什么?量子计算给敏感数据的安全带来了风险,研究人员正在努力解决这一问题。政府、组织和个人依靠加密技术来保证敏感和个人身份信息的安全。密码学通过使用数学函数转换信息来保护信息,统称为加密。当前广泛使用的加密方法依赖于复杂的数学,而普通计算机或经典计算机几乎不可能在合理的时间范围内破解这些数学方法。相比之下,量子计算机可以破解某些类型的广泛使用的加密方法,例如用于安全的加密方法。由于信
Cybersecurity High-Risk Series: Challenges in Protecting Privacy and Sensitive Data
概述自 2010 年以来,我们已在公开报告中提出了 236 项有关保护网络关键基础设施的建议。在这些措施得到全面实施之前,联邦机构保护委托给他们的私人和敏感数据的能力将更加有限。有关本报告的更多信息,请访问 https://www.gao.gov/cybersecurity。 改进联邦保护隐私和敏感数据的努力2022 年 9 月,我们对 24 个机构的审查发现,大多数机构普遍制定了关键隐私计划的政策和程序活动。这些活动包括开发记录系统通知以识别所收集的个人数据的类型、进行隐私影响评估以及记录隐私计划计划。各机构在制定协调隐私计划与其他机构职能的政策和程序方面各不相同。此外,许多机构没有将隐私完
Air Force to institute new method to protect PII
空军官员于 2018 年 2 月 6 日宣布,除非电子邮件已加密,否则将阻止传输包含个人身份信息和类似数字结构的电子邮件。对于无法发送或接收加密电子邮件的成员,将指示成员使用 AMRDEC SAFE 应用程序。
Air Force to institute new method to protect PII
空军官员于 2018 年 2 月 6 日宣布,除非电子邮件经过加密,否则将阻止包含个人身份信息和类似数字结构的电子邮件传输。对于无法发送或接收加密电子邮件的成员,将指示成员使用 AMRDEC SAFE 应用程序。
TRICARE beneficiaries being targeted by call centers
国防卫生局计划诚信办公室 (DHA-PI) 收到了 TRICARE 受益人的大量担忧,称呼叫中心主动联系鼓励他们提供个人身份信息和健康信息。
TRICARE beneficiaries being targeted by call centers
国防卫生局项目诚信办公室 (DHA-PI) 收到大量来自 TRICARE 受益人的担忧,他们表示,呼叫中心主动联系他们,鼓励他们提供个人身份信息和健康信息。
Tool to safeguard PII scheduled for AF-wide December rollout
数字签名执行工具计划于 12 月 5 日在空军范围内进行整合,为 Microsoft Outlook 电子邮件用户提供交互式、自动化的虚拟助手,以帮助确保个人身份信息的安全
Tool to safeguard PII scheduled for AF-wide December rollout
数字签名执行工具计划于 12 月 5 日在空军范围内整合,为 Microsoft Outlook 电子邮件用户提供交互式自动化虚拟助手,帮助确保个人身份信息的安全
Existing tools help users reduce PII breaches
第 24 航空队的成员正在翻新一款旧的电子邮件工具,以帮助空军用户减少个人身份信息 (PII) 的泄露。
Existing tools help users reduce PII breaches
第 24 空军成员正在翻新旧的电子邮件工具,以帮助空军用户减少个人身份信息 (PII) 的泄露。
Violators of PII will have AFNET accounts locked
不当存储并通过空军网络传输个人身份信息的个人现在将因违规而被锁定其账户。
Violators of PII will have AFNET accounts locked
现在,那些在空军网络上不当存储和传输个人身份信息的个人的账户将被锁定,以应对违规行为。
