Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Октября 2024)
Федеральная избирательная комиссия подверглась массированной кибератаке через несколько часов после начала закрытия правительства, согласно отчету Центра общественной честности. В отчете CPI утверждается, что китайцы стояли за «худшим актом саботажа» за 38-летнюю историю агентства.
Три правительственных чиновника, участвовавшие в расследовании, подтвердили факт нападения на ИПЦ, а ФИК признала инцидент в заявлении. Тем не менее, в отчете CPI не объясняется, почему официальные лица считают, что Китай был замешан в этом, или приводятся какие-либо подробности вторжения в сеть, помимо факта, что злоумышленники разбили несколько компьютерных систем FEC. Когда его попросили сделать заявление, FEC передал Security Watch в Министерство внутренней безопасности и не предоставил никакой информации.
Тот факт, что атака произошла во время 16-дневного останова, не должен быть большим сюрпризом, поскольку многие эксперты по безопасности предупреждают, что злоумышленники могут воспользоваться тем, чтобы ИТ-персонал был обманут, чтобы начать атаку. С меньшим количеством людей, наблюдающих за сетями, было много возможностей для злоумышленников. Фактически, FEC уволил всех 339 сотрудников агентства, так как ни один из его сотрудников не был сочтен «необходимым для предотвращения неминуемой угрозы» федеральной собственности, согласно ИПЦ.
« Высокий риск» для сетевых вторжений
Задним числом является 20/20, но атака произошла почти через год после того, как независимый аудитор предупредил FEC, что его ИТ-инфраструктура подверглась «высокому риску» для атаки. Аудитор указал, что, хотя у FEC есть некоторые политики, они не являются достаточными, и для снижения рисков требуются немедленные действия. FEC не согласился с большинством рекомендаций аудитора, утверждая, что его системы были безопасны.
«Информационные и информационные системы FEC подвергаются высокому риску из-за решения чиновников FEC не принимать все минимальные требования безопасности, принятые федеральным правительством», - написали аудиторы из Leon Snead & Company в ноябре 2012 года.
Проблемы включали пароли, которые никогда не истекли, не изменялись с 2007 года или никогда не использовались для входа. Согласно отчету, в Active Directory остались отключенные учетные записи, а ноутбуки, выданные подрядчикам, использовали один и тот же «легко угаданный» пароль. Несмотря на то, что FEC требовал двухфакторной аутентификации на своих компьютерных системах, аудит выявил 150 компьютеров, которые можно было использовать для удаленного подключения к системам FEC, для которых не была включена дополнительная защита. Аудиторы также отметили плохие процессы исправлений и устаревшее программное обеспечение.
«Существующие средства контроля отражают соответствующий уровень безопасности и приемлемый риск для поддержки миссии и защиты данных агентства», - говорится в сообщении агентства в ответ на аудит.
Не ясно, воспользовались ли злоумышленники плохими паролями или какими-либо другими проблемами, отмеченными в отчете во время октябрьской атаки. Учитывая, что агентство отклонило критику в отчете о ревизии, вероятно, многие проблемы остались нерешенными по состоянию на октябрь.
Безопасность, а не правила
По мнению аудиторов, агентству необходимо было внедрить средства контроля информационной безопасности NIST в FIPS 200 и SP 800-53 и обязать всех подрядчиков и сторонних поставщиков соблюдать требования, изложенные в Федеральном законе об управлении информационной безопасностью 2002 года (FISMA). Подрядчики, работающие с федеральным правительством, должны соблюдать FISMA, и только потому, что FEC был освобожден от FISMA, не означает, что подрядчики были, утверждали аудиторы.
В отчете об аудите говорится, что FEC, по-видимому, принимает решения в области информационной безопасности на основе того, что юридически обязано делать агентство, а не рассматривает вопрос о том, что сделает информацию и информационные системы агентства более безопасными.
Для организаций важно понимать, что безопасность - это не просто проверка списка руководящих принципов и стандартов. Администраторы должны подумать о том, что они делают, и убедиться, что их действия соответствуют потребностям их инфраструктуры. FEC настаивал на том, что у него есть политика и руководящие принципы для защиты своих данных и сетей, и этого было достаточно, потому что он соответствовал другой директиве по безопасности. Агентство не остановилось, чтобы рассмотреть, действительно ли те средства управления и политики сделали его сеть безопасной.
Плохое состояние безопасности FEC означало, что «его компьютерная сеть, данные и информация подвергаются повышенному риску потери, кражи, манипуляций, прерывания операций и других неблагоприятных действий», говорится в докладе.
И нам остается удивляться, что сделали злоумышленники, которые сделали вторжение крупнейшим актом саботажа в истории агентства, и какие другие агентства могли получить удар за тот же период времени. Мы можем только надеяться, что другие агентства проделали лучшую работу по соблюдению минимальных стандартов безопасности для своих данных и сетей.
