Video: Marjin Parita Topuklu Terlik (Listopad 2024)
Federální volební komise byla podle zprávy Centra pro veřejnou integritu zasažena masivními hodinami kybernetického útoku po zahájení vládního odstávky. Zpráva CPI tvrdila, že Číňané byli za „nejhorším aktem sabotáže“ v 38leté historii agentury.
Tři vládní úředníci zapojení do vyšetřování potvrdili útok na CPI a FEC incident uznal v prohlášení. Zpráva CPI však nevysvětlila, proč se představitelé domnívali, že se Čína podílela, ani neposkytují žádné podrobnosti o narušení sítě, kromě skutečnosti, že útočníci havarovali několik počítačových systémů FEC. Na požádání o prohlášení předložila FEC bezpečnostní hlídku ministerstvu vnitřní bezpečnosti a neposkytla žádné informace.
Skutečnost, že k útoku došlo během 16denního odstavení, by neměla být velkým překvapením, protože mnoho bezpečnostních odborníků varovalo útočníky, že by mohli využít útoku IT personálu k zahájení útoku. S méně lidmi, kteří sledovali sítě, bylo pro útočníky mnoho příležitostí. Ve skutečnosti FEC uzavřela všech 339 agenturních zaměstnanců, protože žádný z jejích zaměstnanců nebyl podle CPI považován za „nezbytný k prevenci bezprostředních hrozeb“ pro federální majetek.
„ Vysoké riziko“ pro narušení sítě
Hindsight je 20/20, ale k útoku došlo téměř rok poté, co nezávislý auditor varoval FEC, že jeho IT infrastruktura je pro útok „vysoce riziková“. Auditor poukázal na to, že zatímco FEC měla zavedeny některé politiky, nebyly dostatečné a ke snížení rizik byla nutná okamžitá opatření. FEC nesouhlasila s většinou doporučení auditora a tvrdila, že jeho systémy jsou bezpečné.
„Informační a informační systémy FEC jsou vystaveny vysokému riziku z důvodu rozhodnutí úředníků FEC nepřijmout všechny minimální bezpečnostní požadavky, které spolková vláda přijala, “ uvedli auditoři společnosti Leon Snead & Company v listopadu 2012.
Mezi problémy patřila hesla, která nikdy nevypršela, nebyla změněna od roku 2007 nebo nikdy nebyla použita k přihlášení. Zakázané účty zůstaly ve službě Active Directory a notebooky vydané dodavatelům používaly stejné „snadno uhádnuté“ heslo, podle zprávy. Přestože FEC vyžadoval dvoufaktorové ověření na svých počítačových systémech, audit identifikoval 150 počítačů, které by mohly být použity k dálkovému připojení k FEC systémům, které neměly aktivovanou dodatečnou ochranu. Auditoři také označili špatné procesy oprav a zastaralý software.
„Zavedené kontroly odrážejí přiměřenou úroveň bezpečnosti a přijatelného rizika na podporu mise a ochrany údajů agentury, “ uvedla agentura ve své odpovědi na audit.
Není jasné, zda útočníci během říjnového útoku využili slabá hesla nebo některý z dalších problémů označených ve zprávě. Vzhledem k tomu, že agentura zamítla kritiku ve zprávě o auditu, je pravděpodobné, že mnoho otázek zůstalo od října nevyřešeno.
Zabezpečení, nikoli předpisy
Agentura potřebovala přijmout bezpečnostní kontroly NIST IT ve FIPS 200 a SP 800-53 a nařídit, aby všichni dodavatelé a poskytovatelé třetích stran dodržovali požadavky stanovené federálním zákonem o řízení bezpečnosti informací z roku 2002 (FISMA), uvedli auditoři. Dodavatelé pracující s federální vládou musí dodržovat FISMA a to, že FEC byla osvobozena od FISMA, neznamenalo, že dodavatelé byli, uvedli auditoři.
Zdálo se, že FEC činí rozhodnutí o bezpečnosti IT na základě toho, co je agentura povinna z právního hlediska dělat, namísto toho, aby zvážila, co by zvýšilo bezpečnost informačních a informačních systémů agentury, uvedla zpráva o auditu.
Je důležité, aby si organizace uvědomily, že zabezpečení není jen o odškrtnutí seznamu pokynů a standardů. Správci musí přemýšlet o tom, co dělají, a ujistit se, že jejich akce jsou v souladu s tím, co jejich infrastruktura potřebuje. FEC trval na tom, že má zavedeny politiky a pokyny k ochraně svých dat a sítí, a to stačilo, protože splňovalo jinou bezpečnostní směrnici. Agentura se nezastavila, aby zvážila, zda tyto kontroly a zásady skutečně zabezpečily její síť.
Špatná pozice FEC v oblasti bezpečnosti znamenala, že „její počítačová síť, data a informace jsou vystaveny zvýšenému riziku ztrát, krádeží, manipulace, přerušení operací a dalších nepříznivých akcí“, varovala zpráva.
A my jsme zvědaví, co útočníci udělali, že z tohoto zásahu učinil největší útok sabotáže v historii agentury a které další agentury mohly být zasaženy ve stejném časovém období. Můžeme jen doufat, že jiné agentury odvedly lepší práci, pokud jde o splnění minimálních bezpečnostních standardů pro jejich data a sítě.
