Video: Meet a 12-year-old hacker and cyber security expert (November 2024)
Federálna volebná komisia bola podľa správy Centra pre verejnú integritu zasiahnutá obrovskými hodinami kybernetického útoku po začatí vládneho odstávky. Správa CPI tvrdila, že Číňania zaostali za „najhorším činom sabotáže“ v 38-ročnej histórii agentúry.
Traja vládni úradníci zapojení do vyšetrovania potvrdili útok na CPI a FEC incident uznala vo vyhlásení. Správa CPI však nevysvetlila, prečo sa úradníci domnievali, že je zapojená Čína, ani neuvádzajú žiadne podrobnosti o vniknutí do siete, okrem skutočnosti, že útočníci narazili na niekoľko počítačových systémov FEC. Na žiadosť o vyhlásenie FEC postúpila bezpečnostné hliadky ministerstvu vnútornej bezpečnosti a neposkytla žiadne informácie.
Skutočnosť, že k útoku došlo počas 16-dňového vypnutia, by nemala byť veľkým prekvapením, pretože mnohí odborníci v oblasti bezpečnosti varovali útočníkov, že na spustenie útoku môžu využiť výhody IT personálu. S menším počtom ľudí, ktorí sledovali siete, bolo pre útočníkov veľa príležitostí. V skutočnosti FEC uzavrela všetkých 339 zamestnancov agentúry, pretože žiadny z jej zamestnancov nebol podľa CPI považovaný za „potrebný na predchádzanie bezprostredným hrozbám“ pre federálny majetok.
„ Vysoké riziko“ pri sieťových prienikoch
Hindsight je 20/20, ale k útoku došlo takmer rok potom, čo nezávislý audítor upozornil FEC, že jeho IT infraštruktúra je pri útoku „vysoko riziková“. Audítor poukázal na to, že zatiaľ čo FEC zaviedli určité politiky, neboli dostatočné a na zníženie rizík boli potrebné okamžité opatrenia. FEC nesúhlasila s väčšinou odporúčaní audítora a tvrdila, že jeho systémy sú bezpečné.
„Informačné a informačné systémy FEC sú vystavené vysokému riziku z dôvodu rozhodnutia úradníkov FEC neprijať všetky minimálne bezpečnostné požiadavky, ktoré prijala federálna vláda, “ napísali audítori spoločnosti Leon Snead & Company v novembri 2012.
Medzi problémy patrili heslá, ktoré nikdy nevypršali, nezmenili sa od roku 2007 alebo sa nikdy nepoužili na prihlásenie. Zakázané účty zostali v službe Active Directory a notebooky vydané dodávateľom používali podľa správy rovnaké „ľahko uhádnuté“ heslo. Aj keď FEC vyžadovala vo svojich počítačových systémoch dvojfaktorové overenie, audit identifikoval 150 počítačov, ktoré by sa mohli použiť na diaľkové pripojenie k systémom FEC, ktoré nemajú povolenú dodatočnú ochranu. Audítori označili aj slabé procesy opráv a zastaraný softvér.
„Zavedené kontroly odrážajú primeranú úroveň bezpečnosti a prijateľné riziko na podporu misie a ochranu údajov agentúry, “ uviedla agentúra vo svojej odpovedi na audit.
Nie je jasné, či útočníci počas októbrového útoku využili slabé heslá alebo nejaké iné problémy, ktoré boli v správe nahlásené. Vzhľadom na to, že agentúra odmietla kritiku uvedenú v audítorskej správe, je pravdepodobné, že mnoho z týchto otázok zostalo do októbra nevyriešených.
Bezpečnosť, nie nariadenia
Agentúra potrebovala prijať bezpečnostné kontroly NIST v oblasti FIPS 200 a SP 800-53 a poveriť, aby všetci dodávatelia a poskytovatelia tretích strán dodržiavali požiadavky uvedené v federálnom zákone o správe bezpečnosti informácií z roku 2002 (FISMA), uviedli audítori. Dodávatelia, ktorí pracujú s federálnou vládou, musia dodržiavať FISMA, a to, že FEC bola oslobodená od FISMA, neznamenalo, že boli dodávatelia, uviedli audítori.
Zdalo sa, že FEC robí rozhodnutia o bezpečnosti IT na základe toho, čo je podľa agentúry povinná robiť, namiesto toho, aby zvážila, čo by zvýšilo bezpečnosť informačných a informačných systémov agentúry, uviedla audítorská správa.
Je dôležité, aby si organizácie uvedomili, že bezpečnosť nie je len o odškrtnutí zoznamu usmernení a štandardov. Správcovia musia premýšľať o tom, čo robia, a ubezpečiť sa, že ich kroky sú v súlade s potrebami ich infraštruktúry. FEC trvala na tom, že má zavedené politiky a usmernenia na ochranu svojich údajov a sietí, a to postačuje, pretože je v súlade s inou bezpečnostnou smernicou. Agentúra neprestávala skúmať, či tieto kontroly a politiky skutočne zabezpečili jej sieť.
Zlá pozícia FEC v oblasti bezpečnosti znamenala, že „jej počítačová sieť, údaje a informácie sú vystavené zvýšenému riziku straty, odcudzenia, manipulácie, prerušenia prevádzky a iných nepriaznivých akcií“, varovala správa.
A my sme zvedaví, čo urobili útočníci, vďaka ktorým bol prienik najväčšou akciou sabotáže v histórii agentúry a ktoré iné agentúry mohli byť zasiahnuté za rovnaké časové obdobie. Môžeme len dúfať, že iné agentúry odviedli lepšiu prácu pri plnení minimálnych bezpečnostných noriem pre svoje údaje a siete.