早上好,莱希主席,哈奇参议员和委员会的其他成员。我最初是在2001年7月18日向你们谈到我们对联邦调查局安全项目的分析,以及我们正在进行的工作,这些工作旨在将我们的内部安全行动转变为能够完全应对联邦调查局面临的各种可怕威胁的行动。我很高兴再次回来,向委员会提供关于联邦调查局在这个问题上的最新进展,并赞扬韦伯斯特法官和他的委员会在联邦调查局安全项目审查方面所做的全面和非常有帮助的工作。
您的持续兴趣确保FBI在安全的环境中运作,很值得赞赏,因为没有国会的支持,这种糟糕需要的转型是不可能完成的。我们还赞扬韦伯斯特和委员会为联邦调查局内部安全计划的极其详细和独立审查。他们的努力的产品将作为一个测量棒为FBI服务,我们需要在影响我们内部安全性的多个前面。当Director Freeh and Adverney General Ashcroft要求韦克斯特法官承接这项关键任务,我们的希望和期望与他和委员会交付的委员会完全正如我们所在的地方,我们所在的地方以及我们需要的地方的全面和坦率地坦率地评估。这将是我们的路线图。
正如我在之前的证词中提到的,在前特工罗伯特·p·汉森因间谍罪被捕之前,联邦调查局已经采取了一些有限的措施来改善其安全项目,这个项目分散在几个不同的部门,在许多方面都存在严重不足。该计划缺乏一个综合的远景,而且安全计划经常协调不良,效率低下,没有效果。简而言之,除了人身安全之外,安全并没有被灌输到文化中,作为必须每天实践、观察和改进的优先事项。此外,正如我之前作证的那样,联邦调查局在2000年初确定了安全项目中需要更加关注的七个领域。通过他的建议,韦伯斯特法官在每个领域提供了具体和合理的指导。
自7月证词以来,其他两位美国公民因间谍活动被捕 - Brian P. Regan是一名空军的前成员被分配到国家侦察办公室,以及国防情报局雇员的Ana Belen Montes。此外,在9月11日,Al Qaeda的成员对美国的恐怖主义行为。这些行动验证了美国对外对手的前提,这将阻止这种国家的利益。FBI,我们的许多员工和我们文件中的敏感信息都是针对各种对手的有吸引力的目标,他们不断努力阻碍调查操作,获得该敏感信息,并启动和实施针对局人员或设施的报复行动。出于所有这些原因,我将公布我的公众评论更加通用地描述FBI所取得的进展,我很乐意向委员会提供更全面的次会议简报。
韦伯斯特委员会建议
韦伯斯特法官认为有必要对联邦调查局内部安全项目进行全面改进。他的报告得出结论说,在研究过程中分析的大多数安全因素都存在严重缺陷。一些已确认的漏洞比其他漏洞更为严重,对FBI行动的安全构成更大的风险。委员会将其建议分为以下几类:
作为委员会建议的基础,对漏洞的审查提供了可追溯性,可追溯到此前FBI认定急需改进的七个关键领域。虽然没有多少安慰,但委员会没有找到其他的。然而,这并没有减轻多年来形成的缺点的严重性,也没有减轻必须解决这些问题的紧迫性。我们完全同意韦伯斯特法官的观点。
自从汉森于2001年2月被捕以来,联邦调查局一直致力于改变其安全计划的努力,我们非常了解法官韦伯斯特员工关于这些努力的帮助和指导。缺点的严重程度和相应的漏洞决定了我们即使在审查正在进行的外部审查时也会继续。由于他们的帮助,这两项努力是免费的,这允许做出很大的进展。正如韦伯斯特指出的那样,仍然需要更多进展。韦伯斯特委员会报告和建议将成为这一过程中非常有价值的工具。
在此声明的剩余部分将致力于使委员会跟上时代的什么已经完成,我们打算使在今后的额外的安全性改进方案的简要说明,指导,当然,通过建议和意见反映在报告中。
临时安全改进的状态
2001年3月下旬,前局长路易斯·j·弗里采取了一些与内部安全有关的行动,旨在立即改善联邦调查局的内部安全。这些步骤包括任命一个由助理司长组成的工作队,以确保彻底查明和有效实施临时保安改进措施,将安全项目从国家安全局(NSD)中移除,并将其作为一个独立的实体向当时的副局长Thomas J. Pickard报告,我被任命为负责安全项目方向的执行经理,并采用详细的安全政策流程。
启动了以下附加临时安全更改:
增强计算机审计程序参考译文韦伯斯特委员会的报告描述了罗伯特·汉森是如何轻而易举地窃取了大约26张电脑软盘上的信息,这些软盘上大约有6000页的材料,其中大部分是通过他利用美国联邦调查局的一个重要调查数据库——自动案件支持系统获得的。汉森不需要“侵入”电脑系统内部。他的“合法”权限允许他浏览系统,并找到有价值的信息,以支持他的持续间谍活动。
汉森被捕后不久,前主任弗里指导我们的工作人员来实现我们的最敏感的情况下,定期审查 - 审查,可以凸显谁已经看过案卷所有个人 - 这样的情况下,代理商和他们的主管可以负责保证这些案件正在由只访问带有需要知道的。一种方法是建立,使用普通文件审查机制,使代理人讨论与每90天他们的主管的调查进展,ACS的电子病例档案段内审查文件访问报告。通过这次审查中,分配给最敏感调查案件代理人负责解决潜在的不明原因的访问。
启动这个过程是一个出色的开始,但仍然不充分。ACS的一个主要缺点是其运作的复杂性和缺乏用户友好性。韦伯斯特委员会报告突出显示,虽然ACS包含这些案例审计和跟踪工具,但很少有用户知道他们可用或不明白如何访问它们。最终,通过实施一个名为虚拟案例文件(VCF)的新案例管理系统以及鲁棒信息保证(IA)原则的应用,将减轻这种漏洞,并将在下面更详细地描述。这两者都在本委员会之前最近的一次听证会。随着资金大会所提供的,FBI将在管理信息和管理信息安全方面进行巨大的跨越。
为了解决这个问题,直到VCF和IA计划是可行的,FBI的信息资源部门开发了一个称为案例文件访问报告(CDAR)的用户友好应用程序,这将促进案件审计过程,并提供案件代理人及其监督员更多监督能力。CDAR刚刚完成了所有新软件应用程序所需的认证和认证过程,并且部署将很快开始。与此部署相结合,将为ACS用户提供更多的专注教育和意识,以与ACS调查数据库相关联的安全性。
扩展测谎程序在汉森在联邦调查局工作期间,他从未接受过测谎仪检查。1994年,联邦调查局制定了一项规定,要求所有新员工在开始工作前必须进行测试。此外,对能接触到某些敏感程序或案件的个人进行测谎,在严肃的内部调查中也使用测谎仪来解决无法解释的异常和含糊不清的问题。
前主任弗里汉森被捕定期测谎考试的个人,谁通过他们的任务性质,对我们最敏感的广泛信息后订购。测谎检查也下令对海外派遣服务的员工。
由于有限的测谎率扩展变得有效,因此接近700个违规行为(CI)进行了剪裁检查。虽然估计占据最敏感的信息的职位占据职位的初始雇员,但该人口是动态的。例如,随着员工已经退休,选择了这些职位的新现役,并最终是复印的。广大多数员工,被复印已经成功完成了该过程。我们正在继续略高于测试人口的略高于一个以解决异常。我们制定了试图解决异常结果的过程,这考虑了多指只是健康人员安全审查计划的一个要素,并确保可能有必要修改员工期间获取信息的信息询问,基于单独的测谎率结果,将对员工禁止不利行动。虽然在测谎率考试期间没有介绍迄今为止对汉森案件相当的日期,但该过程已经确定了较小的安全违规和其他行为,这些行为导致了FBI专业责任办公室(OPR)的推荐适用于适当的纪律考虑因素。这是改变安全意识文化的必要组成部分。
美国联邦调查局局长罗伯特·米勒S.,III,最近同意对测谎程序一个新的基于风险的框架和略有扩大员工主体对CI-重点检查池中。我将在后面详细在我的发言讨论。
增强重新投资分析:韦伯斯特委员会报告确定了汉森1996年安全再投资期间浮出水面的一些问题,这些问题应该被认为是“红旗”。金博宝正规网址由调查人员似乎没有追求的一些参考文献进行了陈述,并且没有迹象表明,安全许可裁决人员在决定在案件上有利规则时填写“检查清单”。汉森的职业生涯中还没有融入一个严谨的分析过程中的其他可疑事件,这可能导致决定进一步审查他的可信度。
前董事FAWEH于2001年3月授权,建立安全方案中的增强分析能力,以进行安全裁决,并解决由获得最敏感信息的人员的重新投资而导致的任何异常。我们为此目的建立了安全计划内的单独单位。该装置还可作为CI-Security集成的点。它由代理商部长和两个代理主管人员组成。十四个承包商(退休的FBI代理商)正在进行分析。已分配额外的员工资源以建立增强的财务分析能力。他们的使命很简单:确保潜在的“红旗”的信息,无论它们如何存在,都可以完全分析,调查和解决。这一点没有发生在过去。
由于与扩大使用测谎仪,我们已经确定通过加强分析过程等行为导致请示OPR一些安全违法行为。此外,在至少一个例子中,这个新单位确定了可能对我们进行有效的CI调查的能力产生负面影响的差的运营实践。由于这种发现,采取了补救措施。同样,这些推荐在解决个别缺点的同时是将文化改变为接受安全性和安全意识的重要组成部分,这是开展当天的业务的基本要素。
其他措施实现:在我2001年7月的证词中,我描述了一些由前董事弗里引导到有利于安全的持续纳入FBI文化,使人们认识作为行动的一个组成部分的其他举措。包括这些举措:
- 提升保安员在外勤的作用,要求他们有直接向主管助理主任或主管特别代理人汇报的能力。
- 要求每个助理主任负责或特殊代理人建立安全理事会。
- 为联邦调查局雇员开发和开展培训,以及与招聘人员的要求有关。
- 从情报界接收安全专业知识和支持。
- 提高敏感分隔信息(SCI)的安全性。
自7月以来,在这些领域以及其他领域又取得了重大进展。这一进展将在我稍后的发言中进一步发展。
FBI安全计划转型的状态
我之前向委员会描述了联邦调查局安全项目的分裂和混乱,这体现在七个关键的重点领域。韦伯斯特委员会的报告清楚地说明了安全“被破坏”的程度。如果有任何问题,现在应该很明显,所需要的不是一个“创可贴”的方法,而是一个安全计划的完全转变。在7月的证词中,委员会了解到一份15项计划的优先清单,这些计划将作为转型的路线图。我指出,虽然分类是按优先次序排列的,但将提案分成几部分是无效的。我还强调,这种规模的转变需要时间。它必须经过仔细的计划和执行,必须灌输给我们的员工。
因此,为了使委员会更好地观察到去年在去年启动的全部安全改进,我们的成就是排队的,以及我们计划在未来完成的一些努力,反对韦伯斯特委员会使用的集团。
组织结构:在汉森的逮捕之前,没有综合的联邦调查局安全架构或结构。安全计划的要素在八个不同的组织组件中传播。这促进了一个组织无视安全性和在联邦调查局的文化,这对汉森的活动的症状没有反应。为此,自2001年7月以来,FBI:
- 在FBI历史中建立了安全部门,将成为所有局安全事项的一体化点。
- 为安全部门提供了设施保护和警察服务的程序责任,以及保护FBI总部和华盛顿野外办事处的运营责任。
- 移动测谎单位的保安部。
- 开始联合“商业计划书”与化验科,以确保技术安全资源的正确针对安全部要求的发展。
- 担任助理董事董事,担任高级安全主管。本广告全面支持并直接访问官员,穆勒公司强烈地传达对所有联邦调查局员工的安全计划的支持。
- 通过以下方式为安全计划提供所需的基础设施支持:
- 将内部资源转移到安全部门作为持续的联邦调查局重组计划的一部分。
- 从中央情报局(CIA)和国家安全局(NSA)的安全部门建立额外的“细节”作业。
- 将2002年财政年度预算过程中收到的资源应用于安全要求。
- 提交,其中包括对安全事业部和它的使命显著资源2003财年的预算请求。
- 启动了对国家、中央情报局局长、司法部和联邦调查局政策指令的全面审查,以建立一个可追溯矩阵,用于衡量现有安全政策的有效性。
- 启动了全面的安全教育、意识和培训计划。该计划的最初目标将是解决信息系统安全问题,然后扩展到安全计划的所有其他元素。金博宝正规网址
联邦调查局未来的一些举措包括:
- 评估需要和开发资源请求,以减轻安全漏洞到风险是可接受的级别。
- 寻求进一步巩固安全部门内的安全职能。
- 通过建立一个全面的职业规划来发展专业的安全官员队伍,识别和雇佣具有适当技能的候选人,通过有竞争力的薪酬和奖励结构成功地留住他们,通过适当的培训和分配机会建立专业知识,并为他们承担越来越重要的项目和管理角色做好准备。这项倡议的内容将包括:
- 建立一个安全职业服务委员会,重点关注专业安全官员职业轨道的所有要素。
- 安全专业人士熟悉熟练程度,以及系统管理员等关键职位相关技能。
- 重新设计现场安全官员计划:
- 在专业安全官员干部依靠代理商,我们打算随着时间的推移建造。
- 重组外地办事处,以便所有的安全责任落在保安员的控制下。
- 将更多资源用于支持安全计划。
- 修改联邦调查局安全理事会的运作,以确保其高级管理人员统一,并对局致力于对局提供重要意义的问题。金博宝正规网址
信息系统安全:在前面的部分寻址采取措施以加强计算机审计程序的临时措施,我描述了如何汉森利用ACS妥协FBI的信息。局信息系统内的信息保护是一个特别关键的问题。这包括FBI的安全路线图中的15项举措,六直接关系到信息系统安全和信息保障(IA)。
韦伯斯特委员会的报告准确地指出,FBI的信息技术(IT)资本重组努力三部曲,只包括为IA的基本要素提供资金。在首次亮相时,Trilogy将提供比FBI目前的IT主干网和包括ACS在内的五种调查应用程序更多的安全性。然而,目标是发展IA计划,使其与其他世界级的信息系统安全工作相媲美。三部曲计划和IA计划的人员之间已经进行了重大协调,以确保三部曲安全体系结构将支持我们计划采用的未来IA技术的使用,如公钥基础设施(PKI)。
为了解决影响FBI信息系统的安全漏洞,自2001年7月以来,FBI:
- 在信息资源部门建立了IA计划。
- 为执行作为2002财政年度反恐补充拨款法案一部分的IA项目资源制定了详细的支出计划。
- 制定了2003财年预算请求继续稳健IA计划的制定和实施。
- 寻求并获得穆勒局长的承诺,以适当解决许多FBI IT系统的不良认证和认证(C&A)状态。
- 实施了一个激进的C和努力,以发现和地址现有和提议的FBI IT系统内的漏洞。
- 与三部曲计划合作,立即将加强保安措施,并为在未来提高信息系统的安全性措施的框架。
- 启动了加密密钥管理的现代化,以提高FBI信息的安全性,并促进三部曲基础设施的立即部署。
联邦调查局未来的一些举措包括:
- 指定有经验的IA从情报界(IC)专业运行FBI的IA计划,并从IC加战略“咨询”资源,适当。
- 为FBI系统设计一个全面的IT安全架构。作为这个体系结构的一部分,确定IA工具或技术的基线,如PKI、虚拟专用网络和局域网、单点登录、入侵检测、网络扫描、审计,以及其他识别异常活动和系统漏洞的方法。
- 建立企业安全运营中心来集中管理FBI IT系统和网络的安全性。
- 重新评估和改进认证和认证过程,以使其反映最佳实践,并与IT系统开发生命周期相关联。
- 建立许多经验丰富的信息系统安全管理人员作为客户焦点,以便迅速处理IT安全问题和问题。金博宝正规网址
- 延续IA和三部曲程序人员之间的密切合作,以实现改进的IT系统安全性,作为持续的三部曲努力的一部分。
人员安全:韦伯斯特委员会报告识别用于评估汉森持续可靠性的过程中的许多不足。我在讨论临时步骤时,在我的陈述中提前描述了一些这些缺陷,我们已经采取了扩展了传度编音计划并进行了增强的再投资分析。为了改善我们的人事安全计划,自2001年7月以来,FBI:
- 实施了书面案例摘要格式,用于审查安全裁决建议。
- 从实验室移动到安全部门的测量单元。
- 根据作为限制膨胀的部分成立于2001年3月的标准继续进行多种波动描记检查。
- 导演米勒接到概念批准继续进行测谎程序的有限和谨慎扩张。正式决定备忘录已经为他的签名已经生成。提案:
- 扩大已涉及CI,CT和安全计划的所有人员的CI-FoilMover考试的人口。
- 建立由四个元件组成一个基于风险的计划 - 为员工和非局人事 - 能够访问最敏感的FBI信息。元素包括:
- 作为初始雇佣或访问申请的一部分的考试。
- 定期考试与安全重振联系在一起。
非周期性或随机检查。
- 必要时强制考试解决行政命令12968所定义的受益责任的问题以及实施其的裁决指南。金博宝正规网址
一些举措联邦调查局将在未来实现包括:
- 确定集成安全信息管理系统和数据集成工作的要求,并利用2002财政年度拨款收到的资金进行有限数量的“试点”工作。
- 使用记录管理部门来改进FBI安全文件的控制,并确保它们包含必要的信息。最终,作为开发集成安全管理系统的努力的一部分,转换到电子安全文件。
- 安全自动化数据收集在启用网络环境中的流程。
- 识别新的信息来源,为审查过程增加价值,并协助确定员工可信度。
- 建立一个基础广泛的财务披露方案和发展能力进行安全相关的财务分析。
- 探索使用特定问题的测谎仪来解决故意未经授权泄露FBI信息的担忧。
文档安全:韦伯斯特委员会报告描绘了一个环境,汉森能够以有罪不罚现象犯下其间谍活动。在一个轶事中,该报告描述了Hanssen如何走进办公区,在没有受到挑战的情况下,他曾经被分配并登录计算机系统以检索他最终妥协于俄罗斯人的敏感信息。委员会表示,即使是最近,甚至基于其调查人员的个人经验,联邦调查局员工仍然留下安全的区域,有时可能提供不受约束的和未经授权的敏感文件的访问。
为了继续提高我们提供敏感信息的文件,自2001年7月,FBI:
- 重新评估FBI设施的访问程序,消除了专项豁免提供了高管。
- 建立了FBI特殊保安人员的立场,并选择了一个智力社区官员作为详情的职责。
- 完成了对SCI处理程序的审查。
- 对敏感通道进行了全面的审查,导致FBI员工净减少与SCI。
- 进行了“返回到基础知识”一日为所有员工那里的安全是重点的重点领域之一。
一些举措联邦调查局将在未来实现包括:
- 建立安全事故报告程序,包括所有潜在的信息妥协的管理通过一个中心,保安部组件。此组件将确保安全事故进行适当调查;评估是对国家安全或FBI行动的潜在损害的进行;采取补救措施,在必要时,为保证妥协不会再发生;和个人的责任分配,如果合适的话。
- 建立解决安全异常的能力,无论其来源,并将调查这些异常所产生的信息集成到FBI CI部门。
- 开发一个增强的能力,以安全地处理SCI电子。
- 为敏感的硬拷贝文档制定适当的问责制和跟踪系统。
- 调查技术以更好地占据和播放敏感信息和介质,纸张或磁性。
- 制定和实施上的正确分类的培训,占和机密信息的控制。
- 开发更强大的FBI分类指南。
概括
我们在去年改善FBI的安全方面取得了很大进展。考虑到联邦调查局面临的危机应对2001年9月11日,恐怖主义袭击,这尤其如此。对这个前所未有的危机的回应征税整个FBI,包括未成熟的安全基础设施。
然而,最终,必须发生的最重要的变化是安全“文化”中的戏剧性调整。继续安全教育,广泛的安全意识和使安全被接受为日常业务的正常部分是必须克服的文化障碍。我已经讨论过的许多努力旨在实现这种调整。这些包括董事穆勒公司对安全计划的强有力的支持以及未能遵守安全政策的切实后果;将安全视为所有业务计划的关键要素;强大的安全教育,意识和培训计划;而且,发展可以理解,相关和可执行的安全政策。
我们也不能有任何错误认识到,我们才刚刚开始一段旅程,这将需要大量的时间和本委员会以及国会其他成员未来的支持,以确保成功。我们将继续仔细审查韦伯斯特委员会报告的保密附件,以便我们能够从他们的全面研究中受益,并加强我们的行动计划。我们还将审查司法部监察长关于汉森的报告,预计今年晚些时候,评估他们的结论和建议。
韦伯斯特委员会报告认识到,FBI或任何处理敏感信息的机构都无法完全防止间谍活动。将在某个时间点,另一个联邦调查局雇员或承包商谁背叛了我们的信任。因此,正如法官韦伯斯特建议,我们将努力阻止那些可能正在考虑敏感局信息的妥协的理性人,最大限度地减少其“叛逃和检测”之间的时间,并采取任何可能的措施来最小化导致所产生的损害。
主席先生,我很高兴有机会解决这个委员会和您和您的同事们向FBI提供了所有支持,以便我们能够忠实地排出我们的重要职责,并帮助保护我们伟大国家的利益。
