Video: Хакер взял под контроль самолет, сидя в пассажирском кресле (Decembris 2024)
Federālo vēlēšanu komisiju skāra milzīgs kiberuzbrukums stundas pēc valdības slēgšanas, teikts Sabiedrības integritātes centra ziņojumā. CPI ziņojumā apgalvots, ka ķīnieši ir aiz "vissliktākā sabotāžas akta" aģentūras 38 gadu vēsturē.
Trīs izmeklēšanā iesaistītās valdības amatpersonas apstiprināja uzbrukumu CPI, un FEC atzina šo incidentu paziņojumā. Tomēr CPI ziņojums nepaskaidroja, kāpēc amatpersonas uzskatīja, ka Ķīna ir iesaistīta, vai arī nesniedza sīkāku informāciju par tīkla ielaušanos, pārsniedzot faktu, ka uzbrucēji ietriecās vairākās FEC datorsistēmās. Kad tika lūgts paziņojums, FEC nosūtīja Security Watch uz Iekšzemes drošības departamentu un nesniedza nekādu informāciju.
Faktam, ka 16 dienu pārtraukuma laikā notika uzbrukums, nevajadzētu būt lielam pārsteigumam, jo daudzi drošības eksperti bija brīdinājuši uzbrucējus, iespējams, izmantojot IT personālu, lai uzbrukuma sākšanai izmantotu nožēlu. Tā kā tīklus skatījās mazāk cilvēku, uzbrucējiem bija daudz iespēju. Faktiski, saskaņā ar CPI, FEC bija izbrāķējusi visus 339 aģentūras darbiniekus, jo neviens no tās darbiniekiem netika uzskatīts par "vajadzīgu nenovēršamu draudu novēršanai" federālajam īpašumam.
" Augsts risks" tīkla uzlaušanai
Atskats ir 20/20, bet uzbrukums notika gandrīz gadu pēc tam, kad neatkarīgs revidents bija brīdinājis FEC, ka tā IT infrastruktūrai ir "liels risks" uzbrukumam. Revidents norādīja, ka, lai arī FEC bija ieviesta kāda politika, tā nebija pietiekama un risku samazināšanai bija nepieciešama tūlītēja rīcība. FEC nepiekrita lielākajai daļai revidentu ieteikumu, uzskatot, ka tās sistēmas ir drošas.
"FEC informācijai un informācijas sistēmām ir augsts risks, jo FEC amatpersonas pieņēma lēmumu nepieņemt visas obligātās drošības prasības, kuras ir pieņēmusi federālā valdība, " 2012. gada novembrī rakstīja Leon Snead & Company auditori.
Problēmas ietvēra paroles, kuru derīguma termiņš nekad nav beidzies, kas nav mainītas kopš 2007. gada vai nekad nav izmantotas, lai pieteiktos. Atspējoti konti palika Active Directory un klēpjdatoriem, kas izsniegti darbuzņēmējiem, tika izmantota tā pati “viegli uzminamā” parole, teikts ziņojumā. Kaut arī FEC savās datorsistēmās pieprasīja divu faktoru autentifikāciju, audits identificēja 150 datorus, kurus varēja izmantot, lai attālināti izveidotu savienojumu ar FEC sistēmām, kurām nebija iespējota papildu aizsardzība. Revidenti arī atzīmēja sliktos labošanas procesus un novecojušo programmatūru.
"Vietējā kontrole atspoguļo atbilstošu drošības līmeni un pieņemamu risku, lai atbalstītu misiju un aizsargātu aģentūras datus, " teikts aģentūras atbildē uz revīziju.
Nav skaidrs, vai uzbrucēji izmantoja sliktās paroles vai kādu citu problēmu, kas oktobra uzbrukuma laikā tika atzīmēta ziņojumā. Ņemot vērā to, ka aģentūra bija noraidījusi revīzijas ziņojumā pausto kritiku, iespējams, ka daudzi no jautājumiem palika neatrisināti no oktobra.
Drošība, nevis noteikumi
Aģentūrai bija jāpieņem NIST IT drošības kontrole FIPS 200 un SP 800-53 un jāpieprasa, lai visi darbuzņēmēji un trešo personu pakalpojumu sniedzēji ievērotu prasības, kas noteiktas 2002. gada Federālā informācijas drošības pārvaldības likumā (FISMA), sacīja auditori. Revidenti sacīja, ka darbuzņēmējiem, kas strādā ar federālo valdību, ir jāievēro FISMA, un tas, ka FEC bija atbrīvots no FISMA, nenozīmēja, ka darbuzņēmēji bija.
Šķita, ka FEC pieņem lēmumus par IT drošību, pamatojoties uz to, kas aģentūrai ir likumā noteikts, nevis apsver, kas aģentūras informācijas un informācijas sistēmas padarītu drošākas, teikts revīzijas ziņojumā.
Organizācijām ir svarīgi saprast, ka drošība nav tikai vadlīniju un standartu saraksta pārbaude. Administratoriem ir jādomā par to, ko viņi dara, un jāpārliecinās, ka viņu rīcība atbilst tai, kas nepieciešama viņu infrastruktūrai. FEC uzstāja, ka tai ir izstrādāta politika un vadlīnijas savu datu un tīklu aizsardzībai, un tas bija pietiekami, jo tas atbilda citai drošības direktīvai. Aģentūra neapstājās, lai apsvērtu, vai šīs kontroles un politikas faktiski padarīja tās tīklu drošu.
FEC sliktā drošības poza nozīmēja, ka tās "datortīklam, datiem un informācijai ir paaugstināts zaudējumu, zādzību, manipulāciju, operāciju pārtraukšanas un citu nelabvēlīgu darbību risks", brīdināts ziņojumā.
Un mums atliek domāt, ko izdarījuši uzbrucēji, kas ielaušanos padarīja par lielāko sabotāžas aktu aģentūras vēsturē un ko citas aģentūras, iespējams, ir notikušas tajā pašā laika posmā. Mēs varam tikai cerēt, ka citas aģentūras ir paveikušas labāku darbu, lai izpildītu minimālos drošības standartus saviem datiem un tīkliem.
