สำนักงานบริหารงานบุคคลอาจจ่ายเงินมากเกินไปสำหรับการขโมยข้อมูลประจำตัวและบริการตรวจสอบเครดิตสำหรับผู้ที่ตกเป็นเหยื่อของการละเมิดทางไซเบอร์ 2 ครั้งในปี 2558สำนักงานความรับผิดชอบของรัฐบาลได้ตั้งคำถามว่าข้อกำหนดที่ OPM ให้ผู้ที่ตกเป็นเหยื่อของการละเมิดในปี 2558 โดยมีประกันการโจรกรรมข้อมูลประจำตัวไม่น้อยกว่า 5 ล้านดอลลาร์เป็นเวลาอย่างน้อย 10 ปีนั้นมากเกินไปหรือไม่
“ผู้ให้บริการโจรกรรมข้อมูลประจำตัวหลายรายที่เราพูดคุย
ด้วยรับ ทราบว่าการประกันการโจรกรรมข้อมูลระบุตัวตนนั้นมีมูลค่าจำกัดสำหรับผู้บริโภค และเป็นการยากที่จะจินตนาการถึงการสูญเสียที่ครอบคลุมซึ่งใกล้ถึงขีดจำกัด 1 ล้านดอลลาร์” GAO กล่าวในรายงานล่าสุด “ผู้ให้บริการเกือบทั้งหมดที่เราพูดคุยด้วยกล่าวว่าไม่จำเป็นต้องเพิ่มความคุ้มครองประกันเกิน 1 ล้านเหรียญสหรัฐ”
กฎหมายกำหนดให้ OPM ต้องให้บริการปกป้องข้อมูลระบุตัวตนสำหรับผู้ที่ตกเป็นเหยื่อการละเมิดภายในวันที่ 18 ธันวาคม 2025 เป็นอย่างน้อย
Insight by Maximus: การมีข้อมูลเพียงปลายนิ้วจะมีความสำคัญหากเป็นข้อมูลที่ถูกต้องในเวลาที่เหมาะสม ในแบบสำรวจพิเศษของ Federal News Network เราถาม feds เกี่ยวกับความพยายามของหน่วยงานของตนในการเปลี่ยนข้อมูลให้เป็นข่าวกรองที่นำไปปฏิบัติได้ ซึ่งจะนำไปสู่การบริการที่ดีขึ้น
แต่ GAO กังวลว่าจำนวนเงินที่สูงที่เกี่ยวข้องกับการประกันทำให้ผู้ที่ตกเป็นเหยื่อเข้าใจผิดเกี่ยวกับสิ่งที่
จะได้รับความคุ้มครอง
GAO กล่าวว่า “ขอบเขตของรายการที่ครอบคลุมโดยการประกันการโจรกรรมข้อมูลส่วนตัวนั้นจำกัดเฉพาะค่าใช้จ่ายที่ไม่ต้องควักกระเป๋า
แม้ว่าระดับความครอบคลุม 5 ล้านดอลลาร์ดูเหมือนจะไม่เป็นภาระแก่รัฐบาลมากนักด้วยค่าใช้จ่ายเพิ่มเติม แต่ GAO ก็กังวลเกี่ยวกับอนาคต
“ค่าใช้จ่ายใดๆ ที่เกิดขึ้นในอนาคตซึ่งอาจเป็นผลจากการเพิ่มความคุ้มครองการประกันเป็น 5 ล้านดอลลาร์อาจไม่สอดคล้องกับเป้าหมายที่ระบุโดยทั้งสภาคองเกรสและฝ่ายบริหารเพื่อลดการใช้จ่ายที่ไม่จำเป็น เนื่องจากดูเหมือนจะไม่มีประโยชน์ที่สอดคล้องกับความคุ้มครองดังกล่าว ” GAO กล่าว
OPM มีเอกสารเพียงเล็กน้อยที่ให้รายละเอียดว่าเหตุใดจึงตัดสินใจที่จะเสนอบริการที่ทำในช่วงหลังการละเมิดทางไซเบอร์ในปี 2558 และพนักงานหลายคนที่ตัดสินใจดังกล่าวได้ออกจากหน่วยงานไปแล้ว GAO กล่าว
“เจ้าหน้าที่ปัจจุบันบอกเราว่าพวกเขาไม่พบเอกสารที่เป็นทางการใดๆ ที่เกี่ยวข้องกับการตัดสินใจให้บริการโจรกรรมข้อมูลประจำตัวหรือกระบวนการที่นำไปสู่การตัดสินใจนี้” GAO กล่าว “เจ้าหน้าที่ของหน่วยงานบอกเราว่าการตัดสินใจเหล่านี้ไม่น่าจะได้รับการบันทึกเพราะพวกเขาทำขึ้นในช่วงวิกฤต ภายใต้แรงกดดันที่รุนแรง และโดยหลักแล้วเป็นเรื่องของการพูดคุยด้วยปากเปล่าในระหว่างการประชุม”
OPM เสนอ “บริการซ้ำซ้อน” แก่เหยื่อประมาณ 3.6 ล้านคนที่ได้รับผลกระทบจากการละเมิดทางไซเบอร์ทั้งสองครั้ง ตามการประมาณการของหน่วยงาน
หน่วยงานทำสัญญากับผู้ขายสองรายเพื่อให้บริการตรวจสอบเครดิตและปกป้องข้อมูลประจำตัว: Winvale/CSID ซึ่งหน่วยงาน รีบเร่งดำเนินการหลังจากข่าวการละเมิดข้อมูลทางไซเบอร์ครั้งแรกของบุคลากรถูกทำลาย และ ID Experts ซึ่งOPM เสนอให้ผู้ที่ตกเป็นเหยื่อของการละเมิดครั้งที่สอง ของข้อมูลการสอบสวนเบื้องหลัง
