Mangelnde Informationen zu Sicherheitsvorfall frustrieren Gesetzgeber
Der amerikanische Gesetzgeber ist unzufrieden mit dem mangelhaften Umgang der Arzneimittelzulassungsbehörde der USA (FDA – Food and Drug Administration), wo bei einem Sicherheitsvorfall im Oktober 2013 die Daten von mehr als 12.000 Personen gefährdet waren. Der Vorfall hatte Auswirkungen für die Anwender des Berichtsystems für Bioprodukte, der Blutspendedatenbank und der menschlichen Zellen- und Gewebedatenbank.
In einem Brief an die FDA hat der Energie- und Wirtschaftsausschuss um Informationen über die Art der gestohlenen Informationen, die Bekanntgabe der Unternehmer und Subunternehmer, welche von dem Vorfall wussten, Information über Abhilfemaßnahmen nach dem Datendiebstahl sowie eine Prüfung durch einen externen Sicherheitsexperten angefordert. Es wird auch die Vermutung angesprochen, die FDA habe eventuell die Passwörter und andere Informationen nicht verschlüsselt.
In dem Brief wird weiter ausgeführt, es sei
„schon beunruhigend, dass es zu dem Datendiebstahl kommen konnte, wenn man bedenkt, wie viel Geld in die Sicherung des Systems gesteckt wurde.“
Etwa 12 % des FDA-Haushaltsbudgets wurden für IT-Belange bereitgestellt.
Am 15. Oktober 2013 hatten Angestellte der FDA einen unbefugten Netzwerkzugriff im Online-System des biologischen Forschungszentrums der FDA entdeckt. Dieses System enthält alle Informationen zu Medizinprodukten der FDA. Es sei bisher nicht bekannt, dass es einen Versuch gegeben habe, die gestohlenen Informationen in irgendeiner Form zu nutzen, so Erica Jefferson, stellvertretende FDA-Direktorin. Man habe damals das System sofort deaktiviert und Passwörter für etwa 5.000 aktive Anwender zurückgesetzt. Jefferson gab bekannt, dass man an einer Stellungnahme zu dem Brief arbeite.
Text des Briefes des Kongresses an die FDA
Artikel von govinfosecurity.com, 10.12.2013: FDA Breach Raises Lawmakers‘ Hackles